1 IBM Security Access Manager for Enterprise Single Sign- On Versie Handleiding SC2 3 IBM Security Access Manager for Enterprise Single Sign- On Versi...
Hoofdstuk 1. Enkelvoudige aanmelding overzicht . . . . . . . . . . . . . . 1 Wachtwoord van IBM Security Access Manager for Enterprise Single Sign-On . . . . . . . . . . 1 Pictogrammen van IBM Security Access Manager for Enterprise Single Sign-On . . . . . . . . . . 2
Hoofdstuk 2. AccessAgent . . . . . . . 5 Registreren met uw wachtwoord (Active Directory sync) . . . . . . . . . . . . . . . . . 5 Registreren met uw wachtwoord (non-Active Directory sync) . . . . . . . . . . . . . . . 6 Aanmelden met uw wachtwoord . . . . . . . 6 De computer vergrendelen en ontgrendelen . . . . 6 Het gebruik van andere verificatiefactoren . . . . 7 Werken met RFID-verificatie . . . . . . . . 7 Werken met verificatie van vingerafdrukken . . . 9 Verificatie met smartcards gebruiken . . . . . 10 Verificatie met hybride smartcards gebruiken . . 11 Registreren met een andere RFID-kaart of smartcard 12 Beheer van wallets . . . . . . . . . . . . 13 Inhoud van wallet bekijken . . . . . . . . 13 Wachtwoorden bekijken . . . . . . . . . 13 Opties voor wachtwoordinvoer . . . . . . . 13 Wachtwoorden exporteren uit de Wallet . . . . 14 Toepassingen instellen voor het onthouden van wachtwoorden . . . . . . . . . . . . 14 Nieuwe legitimatiegegevens toevoegen aan verificatieservices . . . . . . . . . . . 14 Zoeken naar legitimatiegegevens in de Wallet Manager . . . . . . . . . . . . . . 15 Legitimatiegegevens wissen uit een verificatieservice . . . . . . . . . . . . 15 Wachtwoorden bewerken . . . . . . . . . 15 Bewerken van instellingen van toepassing . . . 15 Wachtwoorden wijzigen . . . . . . . . . . 16 Wachtwoorden resetten zonder verbinding met een IMS Server . . . . . . . . . . . . . . 16 Wachtwoorden resetten bij verbinding met een IMS Server . . . . . . . . . . . . . . . . 17 Geheimen voor zelfservice instellen in AccessAgent 17 Sterke verificatie negeren . . . . . . . . . . 18
Aanmelden bij AccessAssistant of Web Workplace Aanmelden met een tweede verificatiefactor . . . Wachtwoorden opnieuw instellen . . . . . . . Ontgrendelen van een Active Directory-account . . Ophalen van wachtwoorden . . . . . . . . . Uw toepassingsaccount beheren in de Wallet . . . Geheimen opnieuw instellen. . . . . . . . . Resetten van op OATH gebaseerde OTP-tokens in AccessAssistant of Web Workplace . . . . . . Bij de toepassing aanmelden via Web Workplace . . Aanmelden bij een toepassing met behulp van een tweede verificatiefactor . . . . . . . . . . Accounts aan toepassingen toevoegen . . . . . Bewerken van toepassingswachtwoorden . . . . Accounts van toepassingen wissen . . . . . . Vastleggen van gebruikersnamen en wachtwoorden Voorkeuren voor aanmelding bij toepassingen instellen . . . . . . . . . . . . . . . . . Het standaardaccount voor een account instellen . .
20 20 21 22 22 23 23 24 24 24 25 25 25 26 26 26
Kennisgevingen . . . . . . . . . . . 27 Woordenlijst . . . . . . . . . . . . 31 A. o. A. G. N. N. g. C. V. J . K. G. M n. X. W E. S. D. V. H. W
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Over deze publicatie Deze handleiding is bedoeld voor de gebruikers. IBM Security Access Manager for Enterprise Single Sign-On Handboek voor de gebruiker biedt instructies voor het werken met AccessAgent en Web Workplace.
Toegang tot publicaties en terminologie In deze sectie vindt u: v Een lijst van publicaties in de “IBM Security Access Manager for Enterprise Single Sign-On-bibliotheek”. v Links naar “Online publicaties” op pagina viii. v Een link naar de “Website IBM Terminology” op pagina viii.
v IBM Security Access Manager for Enterprise Single Sign-On Administrator Guide, SC23995105 Deze handleiding is bedoeld voor de beheerders. Hier wordt ingegaan op de verschillende taken voor de beheerder. IBM Security Access Manager for Enterprise Single Sign-On Administrator Guide biedt procedures voor het maken en toewijzen van beleidssjablonen, het bewerken van beleidswaarden, het genereren van logboeken en rapporten en het maken van backups van de IMS Server en de database ervan. Gebruik deze gids samen met de IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide. v IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide, SC23969404 IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide biedt gedetailleerde beschrijvingen van de verschillende beleidsinstellingen voor gebruikers, computers en het systeem, die beheerders in AccessAdmin kunnen configureren. Gebruik de handleiding samen met de IBM Security Access Manager for Enterprise Single Sign-On Administrator Guide. v IBM Security Access Manager for Enterprise Single Sign-On Help Desk Guide, SC23995304 Deze handleiding is bedoeld voor medewerkers van de helpdesk. IBM Security Access Manager for Enterprise Single Sign-On Help Desk Guide biedt helpdeskmedewerkers meer informatie over het afhandelen van vragen en verzoeken van gebruikers, die meestal over hun verificatiefactoren gaan. Gebruik deze gids samen met de IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide. v IBM Security Access Manager for Enterprise Single Sign-On Handboek voor de gebruiker, SC14-2064-05
v
v
v
v
vi
Deze handleiding is bedoeld voor de gebruikers. IBM Security Access Manager for Enterprise Single Sign-On Handboek voor de gebruiker biedt instructies voor het werken met AccessAgent en Web Workplace. IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide, GC23969303 IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide biedt informatie over problemen met de installatie, upgrades of het gebruik van het product. In deze publicatie komen bekende problemen en beperkingen van het product aan bod. U krijgt hulp bij het vaststellen van symptomen en tijdelijke oplossingen voor het probleem. U krijgt ook informatie over fixes, kennisbanken en ondersteuning. IBM Security Access Manager for Enterprise Single Sign-On Error Message Reference Guide, GC14762402 IBM Security Access Manager for Enterprise Single Sign-On Error Message Reference Guide beschrijft alle informatie- waarschuwings- en foutberichten die betrekking hebben op IBM Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On AccessStudio Guide, SC23995605 IBM Security Access Manager for Enterprise Single Sign-On AccessStudio Guide biedt informatie over het maken en werken met AccessProfiles. Deze gids verstrekt procedures voor het maken en bewerken van standaard en geavanceerde AccessProfiles voor verschillende toepassingstypen. Ook vindt u informatie over het beheer van verificatieservices en toepassingsobjecten, en informatie over andere functies en voorzieningen van AccessStudio. IBM Security Access Manager for Enterprise Single Sign-On AccessProfile Widgets Guide, SC27444401
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
IBM Security Access Manager for Enterprise Single Sign-On AccessProfile Widgets Guidebiedt informatie over het maken en werken met widgets. v IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager Integration Guide, SC27562000 IBM Security Access Manager for Enterprise Single Sign-On Tivoli Endpoint Manager Integration Guide biedt informatie over maken en in gebruik nemen van fixlets voor het beheren van AccessAgent-installaties, -upgrades of -patches. Daarnaast bevat het onderwerpen over het werken met en aanpassen van het dashboard, voor het weergeven van informatie over de AccessAgent-implementatie op de eindpunten. v IBM Security Access Manager for Enterprise Single Sign-On Provisioning Integration Guide, SC23995704 IBM Security Access Manager for Enterprise Single Sign-On Provisioning Integration Guide biedt informatie over de verschillende Java™- en SOAP-API's voor provisioning. U vindt ook procedures voor het installeren en configureren van de Provisioning Agent. v IBM Security Access Manager for Enterprise Single Sign-On Web API for Credential Management Guide, SC14764601 IBM Security Access Manager for Enterprise Single Sign-On Web API for Credential Management Guide biedt informatie over het installeren en configureren van de Web-API voor het beheer van legitimatiegegevens. v IBM Security Access Manager for Enterprise Single Sign-On Serial ID SPI Guide, SC14762601 IBM Security Access Manager for Enterprise Single Sign-On Serial ID SPI Guide beschrijft hoe u een apparaat met serienummers kunt integreren en het kunt gebruiken als tweede verificatiefactor voor AccessAgent. v IBM Security Access Manager for Enterprise Single Sign-On Epic Integration Guide, SC27562300 IBM Security Access Manager for Enterprise Single Sign-On Epic Integration Guide biedt informatie over de integratie van IBM Security Access Manager for Enterprise Single Sign-On en Epic, met inbegrip van de ondersteunde werkstromen, configuraties en implementaties. v IBM Security Access Manager for Enterprise Single Sign-On Context Management Integration Guide, SC23995404 IBM Security Access Manager for Enterprise Single Sign-On Context Management Integration Guide biedt informatie over het installeren, configureren en testen van de geïntegreerde Context Management-oplossing op elk clientwerkstation. v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Mobile Guide, SC27562101 IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Mobile Guide biedt informatie over de implementatie en het gebruik van enkelvoudige aanmelding op mobiele apparatuur. v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Virtual Desktop Infrastructure Guide, SC27562201 IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Virtual Desktop Infrastructure Guide biedt informatie over het configureren van ondersteuning voor enkelvoudige aanmelding in een Virtual Desktop Infrastructure, en over de verschillende gebruikerswerkstromen voor toegang tot het virtuele bureaublad. v IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Terminal Server and Citrix Server Guide, SC27566801 Over deze publicatie
vii
IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Terminal Server and Citrix Server Guide biedt informatie over de vereiste configuraties en de ondersteunde werkstromen op de Terminal- en Citrix-servers.
Online publicaties IBM publiceert productpublicaties wanneer het product wordt vrijgegeven en wanneer de publicaties worden bijgewerkt op de volgende locaties: IBM Security Access Manager for Enterprise Single Sign-On-bibliotheek Op de site met productdocumentatie (http://pic.dhe.ibm.com/infocenter/ tivihelp/v2r1/index.jsp?topic=/com.ibm.itamesso.doc_8.2.1/kchomepage.html) vindt u de welkomstpagina en navigatie voor de bibliotheek. IBM Security Systems Documentation Central IBM Security Systems Documentation Central biedt een alfabetische lijst van alle productbibliotheken voor IBM Security Systems, samen met links naar de online documentatie voor de afzonderlijke versies van elk product. IBM Publications Center In het IBM Publications Center vindt u aangepaste zoekfuncties waarmee u alle benodigde IBM-publicaties kunt vinden.
Website IBM Terminology Op de website IBM Terminology vind u op één locatie de terminologie voor de diverse productbibliotheken. De Terminology-website vindt u op adres http:// www.ibm.com/software/globalization/terminology.
Toegankelijkheid Toegankelijkheidsfuncties helpen gebruikers met fysieke handicaps, zoals bewegingsmoeilijkheden of problemen op visueel gebied, bij het werken met softwareproducten. Bij dit product kunt u hulptechnologie gebruiken om de interface te beluisteren en erdoor te navigeren. U kunt ook het toetsenbord in plaats van de muis gebruiken om alle functies van de grafische gebruikersinterface te bedienen. Voor nadere informatie gaat u naar "Toegankelijkheidsfuncties" in de IBM Security Access Manager for Enterprise Single Sign-On Planning and Deployment Guide.
Technische educatie Voor informatie over technische educatie gaat u naar de volgende IBM Educationwebsite op http://www.ibm.com/software/tivoli/education.
Ondersteuningsinformatie IBM Support biedt assistentie met betrekking tot codeproblemen en relatief eenvoudig op te lossen veelvoorkomende vragen over installatie en gebruik. U hebt rechtstreeks toegang tot de IBM Software Support-site op adres http:// www.ibm.com/software/support/probsub.html. IBM Security Access Manager for Enterprise Single Sign-On Troubleshooting and Support Guide verschaft informatie over: v De te verzamelen informatie voordat u contact opneemt met IBM Support.
viii
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
v De diverse manieren om contact op te nemen met IBM Support. v Hoe u kunt werken met IBM Support Assistant. v Instructies en resources voor probleembepaling, zodat u zelf een probleem kunt herkennen en verhelpen. Opmerking: Op het tabblad Community and Support in het informatiecentrum voor het product kunt u aanvullende resources voor ondersteuning vinden.
Verklaring van goede beveiligingsstrategieën Beveiliging van IT-systemen heeft betrekking op het beschermen van systemen en informatie door het verhinderen, herkennen en reageren op onjuiste en ongewenste toegang van binnen of buiten uw onderneming. Ongewenste toegang kan leiden tot het wijzigen, vernietigen, verduisteren en het verkeerd gebruiken van informatie of tot beschadiging of misbruik van uw systemen, waaronder het gebruik voor aanvallen op anderen. Geen enkel IT-systeem of -product kan worden beschouwd als volledig beveiligd, en geen enkel product, service of beveiligingsmaatregel biedt volledige bescherming tegen ongewenst gebruik of ongewenste toegang. IBMsystemen, producten en services zijn ontworpen om deel uit te maken van een veelomvattende benadering van de beveiliging, waarbij noodzakelijkerwijs aanvullende operationele procedures betrokken zijn, waarbij het vereist kan zijn dat andere systemen, producten of services optimaal functioneren. IBM BIEDT GEEN GARANTIE DAT DE SYSTEMEN, PRODUCTEN OF SERVICES VOLLEDIG ZIJN BEVEILIGD TEGEN, OF UW ONDERNEMING BEVEILIGEN TEGEN, KWAADWILLIG OF NIET TOEGESTAAN GEDRAG BINNEN OF BUITEN OW ORGANISATIE.
Over deze publicatie
ix
x
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Hoofdstuk 1. Enkelvoudige aanmelding - overzicht Met IBM Security Access Manager for Enterprise Single Sign-On kunt u met één gebruikers-ID en wachtwoord toegang krijgen tot meerdere toepassingen. U kunt zich met enkelvoudige aanmelding ook aanmelden bij toepassingen in een Citrix or Terminal Server, als AccessAgent is geïnstalleerd op de Citrix or Terminal Server.
Werking van enkelvoudige aanmelding Na aanmelding bij AccessAgent worden uw legitimatiegegevens voor de toepassing automatisch vastgelegd en automatisch ingevuld van en naar de toepassingsclients die u start. Deze legitimatiegegevens voor toepassingen worden opgeslagen in een Wallet. Bij enkelvoudige aanmelding bij een toepassing haalt AccessAgent de legitimatiegegevens voor aanmelding bij de toepassing op uit de Wallet. Deze Wallet wordt beveiligd opgeslagen op de IBM Security Access Manager for Enterprise Single Sign-On IMS Server. AccessAgent downloadt de Wallet vanaf de IMS Server. Op die manier hebt u toegang tot uw wallet, zelfs als u later gebruikmaakt van een andere computer. Als de IMS Server offline is of als de AccessAgent geen verbinding kan maken met de IMS Server, kunt u zich nog steeds aanmelden bij de AccessAgent als de wallet aanwezig is in de cache. De wallet in de cache bevindt zich in versleutelde vorm op uw computer. U moet zich aanmelden met uw ISAM ESSO-wachtwoord en in bepaalde gevallen met een andere verificatiefactor, als verificatie met twee factoren is ingeschakeld. De IMS Server is online als u kunt klikken op Registreren of Aanmelden in het navigatievenster van AccessAgent. De verbinding met IMS Server wordt elke 30 minuten vernieuwd, of zo vaak als door de beheerder is bepaald.
AccessAgent-informatie Voor het bekijken van informatie over AccessAgent: 1. Klik met de rechtermuisknop op het AccessAgent-pictogram in het systeemvak. 2. Selecteer Info ISAM ESSO AccessAgent. 3. Klik op Exporteren om de informatie naar een tekstbestand te downloaden. Voor meer informatie: v “Wachtwoord van IBM Security Access Manager for Enterprise Single Sign-On” v “Pictogrammen van IBM Security Access Manager for Enterprise Single Sign-On” op pagina 2
Wachtwoord van IBM Security Access Manager for Enterprise Single Sign-On Het ISAM ESSO-wachtwoord beveiligt de toegang tot uw wallet.
De lengte van het ISAM ESSO-wachtwoord varieert van 6 tot 20 tekens, afhankelijk van de voorkeuren binnen uw organisatie. Wanneer u zich registreert bij AccessAgent, moet u een wachtwoord opgeven. U kunt het Active Directory-wachtwoord van uw bedrijf gebruiken als uw ISAM ESSO-wachtwoord. Wanneer u zich registreert bij AccessAgent, registreert u het ISAM ESSO-wachtwoord op de IMS Server en maakt u een wallet. Alle legitimatiegegevens voor toepassingen worden opgeslagen in de wallet. Door de registratie wordt op de IMS Server een backup gemaakt van uw legitimatiegegevens; deze kunnen worden opgehaald als dat nodig is. De wallet kan worden voorzien van een tweede verificatiefactor. De tweede verificatiefactor versterkt het wachtwoord en beschermt de inhoud van de wallet. Gebruik de volgende richtlijnen bij het opgeven van een ISAM ESSO-wachtwoord: v Gebruik een lang wachtwoord dat uniek is en een combinatie bevat van hoofdletters, kleine letters en cijfers. v Gebruik de volgende items niet als wachtwoord: woorden uit het woordenboek, de naam van een huisdier, de naam van een echtgenoot of vriend, of belangrijke datums. v Geef uw wachtwoord aan niemand, zelfs niet aan een medewerker van de helpdesk of een beheerder. v Schrijf uw wachtwoord niet op. v Verander het wachtwoord zo vaak mogelijk. AccessAgent vergrendelt uw wallet wanneer u zich vijf keer achter elkaar probeert aan te melden met een foutief wachtwoord. Het aantal aanmeldpogingen wordt bepaald door uw organisatie. Zie voor meer informatie de volgende onderwerpen: v “Registreren met uw wachtwoord (Active Directory sync)” op pagina 5 v “Aanmelden met uw wachtwoord” op pagina 6 v “Wachtwoorden wijzigen” op pagina 16 v “Wachtwoorden resetten zonder verbinding met een IMS Server” op pagina 16 v “Wachtwoorden resetten bij verbinding met een IMS Server” op pagina 17
Pictogrammen van IBM Security Access Manager for Enterprise Single Sign-On In IBM Security Access Manager for Enterprise Single Sign-On wordt gewerkt met een aantal pictogrammen. Sommige van deze pictogrammen zijn alleen zichtbaar als de gebruiker is aangemeld of als de vingerafdruklezer is herkend. Tabel 1. Pictogrammen die worden afgebeeld wanneer de gebruiker is aangemeld Pictogram
Beschrijving AccessAgent functioneert normaal. Als het pictogram knippert, is AccessAgent bezig met: v het synchroniseren van een verificatiefactor met de IMS Server v aanmelden van de gebruiker
2
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Tabel 1. Pictogrammen die worden afgebeeld wanneer de gebruiker is aangemeld (vervolg) Pictogram
Beschrijving AccessAgent op het bureaublad en in het menu Start Annuleren ESSO GINA
Wachtwoord wijzigen
Help openen
Sessiegegevens
Toepassing starten
De computer vergrendelen
Afmelden van AccessAgent
Aanmelden bij AccessAgent
Reset van wachtwoord
Geen verbinding met IMS Server.
Er is verbinding met IMS Server.
Geheimen instellen
Computer afsluiten
Registreren bij IBM Security Access Manager for Enterprise Single Sign-On Schakelen tussen gebruikers op bureaublad
De computer ontgrendelen
Naar Windows GINA gaan om aan te melden
Naar Windows GINA gaan om te ontgrendelen
Beheren van uw wallet
Hoofdstuk 1. Enkelvoudige aanmelding
3
Tabel 2. Pictogrammen die worden afgebeeld wanneer een vingerafdruklezer is herkend Pictogram
Beschrijving De vingerafdruklezer is niet gereed
De vingerafdruklezer is gereed
4
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Hoofdstuk 2. AccessAgent AccessAgent is de clientsoftware voor het beheren van gebruikers-ID's, verifiëren van gebruikers en het automatiseren van enkelvoudige aanmelding. Meer informatie over het werken met AccessAgent vindt u in de volgende onderwerpen: v “Registreren met uw wachtwoord (Active Directory sync)” v “Registreren met uw wachtwoord (non-Active Directory sync)” op pagina 6 v “Aanmelden met uw wachtwoord” op pagina 6 v “De computer vergrendelen en ontgrendelen” op pagina 6 v v v v v
“Het gebruik van andere verificatiefactoren” op pagina 7 “Werken met RFID-verificatie” op pagina 7 “Registreren” op pagina 7 “De computer ontgrendelen” op pagina 8 “De computer vergrendelen” op pagina 8
Registreren met uw wachtwoord (Active Directory sync) Als u zich aanmeldt, zorgt u ervoor dat u een bedrijfs-ID of een gebruikersnaam hebt die door uw organisatie aan u is toegewezen. Uw bedrijfs-ID kan uw emailadres, de gebruikersnaam in Active Directory, de SAP-gebruikersnaam of een andere gebruikersnaam van uw bedrijf zijn. IBM Security Access Manager for Enterprise Single Sign-On gebruikt uw bedrijfs-ID als label voor de wallet.
Procedure 1. 2. 3. 4.
Klik in het AccessAgent-navigatievenster op Registreren. Voer uw bedrijfsgebruikersnaam en wachtwoord in. Klik op Volgende. Optioneel: Als er door de gebruiker gedefinieerde geheimen ingeschakeld zijn, wordt u gevraagd een vraag te selecteren en het antwoord in te voeren. Als u uw wachtwoord bent vergeten, gebruikt u uw primaire geheim om uw Wallet-inhoud terug te halen. Belangrijk: Vergeet niet het antwoord van uw primaire geheim. v Het is hoofdlettergevoelig. v U kunt het gebruiken voor het terughalen van uw legitimatiegegevens voor de toepassing die zijn opgeslagen in de wallet: – Als u uw ISAM ESSO-wachtwoord vergeet of – Als uw ISAM ESSO-wachtwoord niet meer gelijk is aan het (domein)wachtwoord voor Active Directory. Dit scenario is alleen van toepassing als wachtwoordsynchronisatie is ingeschakeld in Active Directory en ervan wordt uitgegaan dat het ISAM ESSO-wachtwoord gelijk is aan het Active Directory-wachtwoord. Opmerking: Alle tekens van de ISO Latin-1 tekenset kunnen worden gebruikt voor het maken of resetten van geheimen, behalve de volgende tekens: v µ
v ß 5. Klik op Volgende. 6. Als u weer hierom wordt gevraagd, selecteert u een andere vraag in en voert u het antwoord in. v Als u niet wilt dat het antwoord wordt afgebeeld, selecteert u Verbergen. v Selecteer Meer vragen registreren als u meer geheimen wilt instellen.
Registreren met uw wachtwoord (non-Active Directory sync) Controleer bij uw beheerder of in uw implementatie Active Directory-synchronisatie actief is. Als dat niet zo is, volg dan onderstaande procedure.
Procedure 1. Klik in het AccessAgent-navigatievenster op Registreren. 2. Voer uw gebruikersnaam in de bedrijfsdirectory en wachtwoord in. 3. Klik op Volgende. Voer een wachtwoord in voor de Wallet. Het nieuwe wachtwoord moet voldoen aan de aangegeven vereisten. 5. Bevestig het nieuwe wachtwoord door het in te voeren in het veld Wachtwoord bevestigen. 4.
6. Klik op Volgende. 7. Optioneel: Als er geheimen ingeschakeld zijn, wordt u gevraagd een vraag te selecteren en het antwoord in te voeren. Als u uw wachtwoord bent vergeten, gebruikt u uw geheim om de inhoud van de Wallet terug te halen. Opmerking: Alle tekens van de ISO Latin-1 tekenset kunnen worden gebruikt voor het maken of resetten van geheimen, behalve de volgende tekens: v µ v ß 8. Klik op Volgende. 9. Als u weer hierom wordt gevraagd, selecteert u een andere vraag in en voert u het antwoord in. v Als u niet wilt dat het antwoord wordt afgebeeld, selecteert u Verbergen. v Selecteer Meer vragen registreren als u meer geheimen wilt instellen.
Aanmelden met uw wachtwoord Geef uw wachtwoord op om aan te melden bij AccessAgent.
Procedure 1. Zet de computer aan. 2. Klik op Aanmelden in het navigatievenster van AccessAgent. 3. Voer uw gebruikersnaam in de bedrijfsdirectory en wachtwoord in.
De computer vergrendelen en ontgrendelen Als u van uw computer weggaat, kunt u het vergrendelen met behulp van AccessAgent, ter voorkoming van ongeoorloofd gebruik van de computer.
6
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
De computer vergrendelen U kunt de computer op een van de volgende manieren vergrendelen: v Klik met de rechter muisknop op het pictogram van AccessAgent. In het menu dat verschijnt, selecteert u Deze computer vergrendelen. v Druk op Ctrl+Alt+Del op uw toetsenbord en klik op Computer vergrendelen. v Dubbelklik op het pictogram van AccessAgent. Zodra het venster Sessie-informatie wordt afgebeeld, klikt u op Deze computer vergrendelen.
De computer ontgrendelen De 1. 2. 3.
computer ontgrendelen: Klik in het navigatievenster op Deze computer ontgrendelen. Voer uw gebruikersnaam en wachtwoord in. Klik op Volgende.
Het gebruik van andere verificatiefactoren Naast uw wachtwoord kunt u een andere verificatiefactor gebruiken, zoals RFID, vingerafdruk en smartcard voor een sterke verificatie binnen uw organisatie. Voor meer informatie: v “Werken met RFID-verificatie” v “Werken met verificatie van vingerafdrukken” op pagina 9 v “Verificatie met smartcards gebruiken” op pagina 10
Werken met RFID-verificatie RFID-apparaten beschikken niet over een interne voedingsbron. RFID-apparaten verzenden radiosignalen alleen met de frequentie van de radiosignalen die ze ontvangen en zijn alleen actief als er een lezer in de buurt is die ze van energie kan voorzien. Door het ontbreken van een interne voedingsbron kunnen RFID-apparaten klein genoeg zijn om te worden ingebouwd in dunne ID-kaarten. De combinatie van een RFID-kaart en een wachtwoord zorgt voor een veilig verificatieproces met twee factoren. Voor meer informatie: v “Registreren” v “De computer ontgrendelen” op pagina 8
Registreren U dient het proces voor registratie te starten met uw RFID-kaart als u deze gebruikt als tweede verificatiefactor.
Voordat u begint Voordat u zich registreert, zorgt u ervoor dat: v De RFID-lezer is aangesloten op de USB-poort van uw computer. v U de RFID-kaart bij de hand hebt.
Hoofdstuk 2. AccessAgent
7
Procedure 1. Zodra u het welkomstscherm van AccessAgent ziet, tikt u uw RFID-kaart tegen de lezer. 2. Klik op Nee als AccessAgent vraagt of u al een gebruikersnaam en wachtwoord voor IBM Security Access Manager for Enterprise Single Sign-On hebt. 3. Voer uw gebruikersnaam in de bedrijfsdirectory en wachtwoord in. 4. Klik op Volgende. 5. Als hierom wordt gevraagd, voert u het nieuwe wachtwoord in. Anders gaat u verder met stap 8. Het nieuwe wachtwoord moet voldoen aan de aangegeven vereisten. 6. Bevestig het nieuwe wachtwoord door het in te voeren in het veld Wachtwoord bevestigen. 7. Klik op Volgende. 8. Selecteer een vraag en voer het antwoord in. Het antwoord is uw geheim, dat u kunt gebruiken als u uw wachtwoord vergeten bent. 9. Klik op Volgende. 10. Klik op Voltooien. Als de registratie foutloos is voltooid, wordt het pictogram van AccessAgent afgebeeld in berichtengebied van het Windows-bureaublad.
De computer ontgrendelen U kunt uw computer ontgrendelen met behulp van een RFID-kaart.
Voordat u begint Zorg ervoor dat u een Wallet in de cache hebt op het werkstation waarmee u zich met behulp van RFID aanmeldt. Een Wallet bevat de legitimatiegegevens van de gebruiker die vereist zijn voor enkelvoudige aanmelding.
Procedure 1. Tik uw RFID-kaart tegen de lezer. Opmerking: Als u de computer in een bepaalde tijdsduur vergrendeld laat, kunt u hem ontgrendelen door de RFID-kaart tegen de lezer de tikken en hoeft u uw wachtwoord niet op te geven. De tijdsduur wordt ingesteld door de beheerder. 2. Voer uw wachtwoord in. 3. Klik op OK.
De computer vergrendelen U kunt uw computer vergrendelen met behulp van een RFID-kaart.
Procedure v Klik met de rechtermuisknop op het AccessAgent-pictogram in het systeemvak. Selecteer De computer vergrendelen. v Dubbelklik op het pictogram van AccessAgent. Zodra het venster Sessie-informatie wordt afgebeeld, klikt u op Deze computer vergrendelen. v Druk op Ctrl+Alt+Del op uw toetsenbord en klik op Computer vergrendelen.
8
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Werken met verificatie van vingerafdrukken Het systeem voor identificatie met vingerafdrukken herkent de vingerafdruk van gebruikers als verificatiefactor. De vingerafdruklezer vertaalt de vingerafdruk in versleutelde codes waarmee de gebruiker zich aanmeldt bij AccessAgent. Voor meer informatie: v “Registreren” v “Meer dan één vingerafdruk registreren” v “De computer vergrendelen en ontgrendelen” op pagina 10
Registreren Voordat u zich registreert, zorgt u dat de vingerafdruklezer is aangesloten op de USB-poort van uw computer.
Procedure 1. Bij het welkomstscherm van AccessAgent plaatst u uw vinger op de vingerafdruklezer. 2. Klik op Nee als AccessAgent vraagt of u al een gebruikersnaam en wachtwoord voor IBM Security Access Manager for Enterprise Single Sign-On hebt. 3. Als hierom wordt gevraagd, geeft u uw Windows-gebruikersnaam en wachtwoord op. Anders gaat u verder met de volgende stap. 4. Klik op Volgende. 5. Plaats uw vinger op de vingerafdruklezer. 6. Klik op Voltooien. Als de registratie foutloos is voltooid, wordt het pictogram van AccessAgent afgebeeld in het berichtgebied van het Windows-bureaublad.
Meer dan één vingerafdruk registreren Afhankelijk van de implementatie in uw organisatie kunt u meer dan één vingerafdruk registreren voor dezelfde gebruikersnaam. Voordat u een andere vingerafdruk registreert, zorgt u dat de vingerafdruklezer is aangesloten op de USB-poort van uw computer.
Procedure 1. Vergrendel de computer. Meer informatie over het vergrendelen van uw computer vindt u onder “De computer vergrendelen en ontgrendelen” op pagina 10. 2. Plaats de gewenste vinger op de vingerafdruklezer. 3. Voer de gebruikersnaam in de bedrijfsdirectory in wanneer daarom wordt gevraagd. 4. Klik op Volgende. 5. 6. 7. 8. 9. 10.
Klik op Vingerafdruk registreren. Voer uw gebruikersnaam en wachtwoord in. Klik op OK. Selecteer in het diagram de vinger die u wilt registreren. Klik op Volgende. Scan uw vinger nog vijf of vier keer, afhankelijk van de lezer. Nadat de vinger vijf keer correct is gescand, kunt u deze vinger gebruiken om u aan te melden bij AccessAgent.
Hoofdstuk 2. AccessAgent
9
De computer vergrendelen en ontgrendelen Voordat u uw computer vergrendelt of ontgrendelt, zorgt u dat de vingerafdruklezer is aangesloten op de USB-poort van uw computer. Voer een van de onderstaande taken uit om uw computer te vergrendelen of ontgrendelen.
Procedure v Vergrendel de computer door de geregistreerde vinger op de vingerafdruklezer te plaatsen. v Om uw computer te ontgrendelen met uw vingerafdruk scant u uw vingerafdruk met de vingerafdruklezer.
Verificatie met smartcards gebruiken Een smartcard is een kaart van zakformaat met een ingebouwde microprocessor. Smartcards kunnen cryptografische bewerkingen uitvoeren en digitale legitimatiegegevens van gebruikers veilig opslaan en verwerken. Een smartcard kan worden gebruikt als verificatiefactor. Wanneer gebruikers hun verificatiewallet benaderen met behulp van een smartcard, gebruikt IBM Security Access Manager for Enterprise Single Sign-On sterke, op certificaten gebaseerde beveiliging. Smartcards werken binnen IBM Security Access Manager for Enterprise Single Sign-On alleen als ze beschikken over cryptografische legitimatiegegevens. Smartcards moeten ook beschikken over het bijbehorende certificaat dat is uitgegeven door een bedrijfs-PKI of een betrouwbare externe PKI. Voor meer informatie: v “Registreren” v “De computer vergrendelen en ontgrendelen” op pagina 11
Registreren Plaats uw smartcard in de lezer om te beginnen met het proces van registratie.
Voordat u begint Controleer of: v De smartcard-lezer is aangesloten op de computer. v U de smartcard bij de hand hebt.
Procedure 1. Ga naar het welkomstscherm van AccessAgent en plaats uw smartcard in de smartcardlezer. 2. Voer de pincode van uw smartcard in. 3. Klik op OK. Er wordt een bericht over het registreren van de smartcard afgebeeld. 4. Klik op Volgende. 5. Klik op Nee als AccessAgent vraagt of u een gebruikersnaam en wachtwoord voor IBM Security Access Manager for Enterprise Single Sign-On hebt. 6. Voer uw gebruikersnaam in de bedrijfsdirectory en wachtwoord in. 7. Klik op Volgende. 8. Als hierom wordt gevraagd, voert u het nieuwe wachtwoord in. Anders gaat u verder bij 11 op pagina 11.
10
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
9. 10. 11.
12. 13.
Het nieuwe wachtwoord moet voldoen aan de aangegeven vereisten. Bevestig het nieuwe wachtwoord door het in te voeren in het veld Wachtwoord bevestigen. Klik op Volgende. Selecteer een geheime vraag en voer het antwoord in. Het antwoord is uw geheim, dat u kunt gebruiken als u uw wachtwoord vergeten bent. Klik op Volgende. Klik op Voltooien. Als de registratie foutloos is voltooid, wordt het pictogram van AccessAgent afgebeeld in berichtengebied van het Windows-bureaublad.
De computer vergrendelen en ontgrendelen Om uw computer te vergrendelen en ontgrendelen, verwijdert of plaatst u uw smartcard.
Voordat u begint Controleer of: v De smartcard-lezer is aangesloten op de computer. v U de smartcard bij de hand hebt.
Procedure Voer een van de onderstaande taken uit om uw computer te vergrendelen of ontgrendelen. v Om uw computer te vergrendelen haalt u uw smartcard uit de lezer. Het vergrendelingsscherm van AccessAgent verschijnt en uw computer is vergrendeld. v Om de computer te ontgrendelen, plaatst u de smartcard in de lezer. Wanneer u daarom wordt gevraagd, geeft u de pincode van de smartcard op en klikt u op OK.
Verificatie met hybride smartcards gebruiken Een hybride smartcard gebruikt twee chips. Dit zijn een ingesloten PKI-microprocessor en een RFID-chip, al dan niet met contactloze interface. Voor meer informatie: v “Registreren” v “De computer vergrendelen en ontgrendelen” op pagina 12
Registreren Plaats uw hybride smartcard in de lezer om te beginnen met het proces van registratie.
Voordat u begint Controleer of: v De hybride smartcardlezer is aangesloten op de computer. v U de hybride smartcard bij de hand hebt.
Hoofdstuk 2. AccessAgent
11
Over deze taak De beheerder kan een periode configureren waarin u zich kunt aanmelden zonder een PIN op te geven. Voor meer informatie raadpleegt u de beheerder.
Procedure 1. Ga naar het welkomstscherm van AccessAgent en tik uw hybride smartcard in de hybride smartcardlezer. 2. Plaats uw hybride smartcard. 3. Voer de pincode van uw hybride smartcard in.
Resultaten AccessAgent maakt een Wallet in de cache.
De computer vergrendelen en ontgrendelen Verwijder uw hybride smartcard om de computer te vergrendelen of plaats hem om de computer te ontgrendelen.
Voordat u begint Controleer of: v De hybride smartcardlezer is aangesloten op de computer. v U de hybride smartcard bij de hand hebt.
Procedure Voer een van de onderstaande taken uit om uw computer te vergrendelen of ontgrendelen. v Om uw computer te vergrendelen haalt u uw hybride smartcard uit de lezer. Het vergrendelingsscherm van AccessAgent verschijnt en uw computer is vergrendeld. v Om de computer te ontgrendelen, tikt u de hybride smartcard in de lezer.
Registreren met een andere RFID-kaart of smartcard U kunt zich voor een tweede keer registreren met een andere RFID-kaart of smartcard, voor wanneer u het eerste verificatieapparaat niet meer hebt of als u twee verificatieapparaten wilt gebruiken.
Voordat u begint Neem contact op met de helpdesk voor een machtigingscode.
Procedure 1. Houd het te registreren apparaat voor of tik het tegen de lezer. 2. Klik op Registreren. AccessAgent beeldt een dialoogvenster af en controleert of u al beschikt over een gebruikersnaam en wachtwoord voor IBM Security Access Manager for Enterprise Single Sign-On. 3. Klik op Ja om de opdracht te bevestigen. 4. Voer de machtigingscode van de helpdesk in. 5. Optioneel: Als hierom wordt gevraagd, voert u uw geheim in. 6. Klik op Volgende.
12
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
7. Voer uw wachtwoord in. 8. Klik op Voltooien.
Beheer van wallets Met Wallet Manager beheert u de wachtwoorden die zijn opgeslagen in uw wallet. Hiermee kunt u de instellingen voor de wachtwoorden configureren op basis van uw vereisten en persoonlijke voorkeuren.
Inhoud van wallet bekijken Deze opties zijn beschikbaar als u bent aangemeld. Kies een van de onderstaande opties om toegang te krijgen tot uw Wallet.
Procedure v Klik met de rechtermuisknop op het AccessAgent-pictogram in het berichtengebied en selecteer Wallet beheren. OF v Open de wallet via de link Wallet beheren in het navigatievenster van AccessAgent.
Wachtwoorden bekijken U kunt het wachtwoord in de Wallet Manager niet afbeelden wanneer u een smartcard of een vingerafdruk gebruikt als tweede verificatiefactor.
Procedure 1. Klik op een item in uw wallet. 2. Selecteer Acties > Wachtwoord afbeelden. U kunt ook met de rechtermuisknop op het item klikken en Wachtwoord afbeelden selecteren. 3. Voer uw wachtwoord in. Het wachtwoord van de toepassing die is geselecteerd in de wallet wordt afgebeeld.
Opties voor wachtwoordinvoer Gebruik de Opties voor wachtwoordinvoer als u meerdere legitimatiegegevens hebt voor dezelfde verificatieservice. Tabel 3. Opties voor wachtwoordinvoer Opties voor wachtwoordinvoer
Beschrijving
Automatisch aanmelden
AccessAgent voert automatisch de geselecteerde gebruikersnaam en het wachtwoord in en meldt u aan bij de toepassing.
Altijd
AccessAgent voert automatisch uw gebruikersnaam en wachtwoord in. Om u aan te melden bij een toepassing drukt u op Enter of klikt u op OK.
Vragen
AccessAgent vraagt u de opgeslagen gebruikersnaam en wachtwoord voor de toepassing te selecteren voordat u zich aanmeldt. Als u meer dan één account opgeslagen hebt, kunt u deze optie gebruiken voor het kiezen van legitimatiegegevens die moeten worden gebruikt voor aanmelding bij de toepassing.
Hoofdstuk 2. AccessAgent
13
Tabel 3. Opties voor wachtwoordinvoer (vervolg) Opties voor wachtwoordinvoer Nooit
Beschrijving AccessAgent gebruikt de geselecteerde gebruikersnaam en wachtwoord nooit.
Wachtwoorden exporteren uit de Wallet U kunt wachtwoorden in de Wallet Manager niet exporteren wanneer u een smartcard of een vingerafdruk gebruikt als tweede verificatiefactor.
Procedure 1. Selecteer Bestand > Wachtwoorden exporteren. U kunt ook klikken op Wachtwoorden exporteren. 2. Selecteer de gewenste optie voor het exporteren van wachtwoorden. 3. Klik op Bladeren om de map op te geven waarin de geëxporteerde wachtwoorden moeten worden opgeslagen. 4. Geef de bestandsnaam op en selecteer het bestandstype van de geëxporteerde wachtwoorden. 5. Klik op Opslaan.
Toepassingen instellen voor het onthouden van wachtwoorden Na het opgeven van een gebruikersnaam en wachtwoord voor een toepassing vraagt AccessAgent u of u de gebruikersnaam en het wachtwoord voor die toepassing wilt opslaan.
Over deze taak Selecteer in de procedure een van de onderstaande opties voor uw toepassingswachtwoorden: v De legitimatiegegevens opslaan in de Wallet. v De legitimatiegegevens niet opslaan in de Wallet, met de bedoeling deze op een later moment op te slaan. v De legitimatiegegevens nooit opslaan in de Wallet.
Procedure v Klik op Ja om de gebruikersnaam en het wachtwoord in uw wallet op te slaan. v Klik op Nee als u wilt dat de gebruikersnaam en het wachtwoord nog niet worden opgeslagen. Bij de volgende keer dat u zich aanmeldt bij de toepassing beeldt AccessAgent hetzelfde bevestigingsvenster af. v Klik op Nooit als u wilt dat de gebruikersnaam en het wachtwoord niet worden opgeslagen. Bij de volgende keer dat u zich aanmeldt bij de toepassing beeldt AccessAgent het bevestigingsvenster niet meer af.
Nieuwe legitimatiegegevens toevoegen aan verificatieservices U kunt nieuwe legitimatiegegevens toevoegen aan een verificatieservice in uw wallet.
14
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Procedure 1. 2. 3. 4.
In het venster Wallet beheren klikt u op de verificatieservice in de lijst. Klik op Acties > Nieuw legitimatiegegeven Voer het gebruikersnaam en wachtwoord in. Klik op OK.
Zoeken naar legitimatiegegevens in de Wallet Manager Gebruik het zoekveld in de Wallet Manager om legitimatiegegevens op te zoeken.
Procedure 1. Met het veld Legitimatie zoeken kunt u zoeken naar legitimatiegegevens in de Wallet Manager. 2. U kunt de volgende gegevens invoeren: v Naam van verificatieservice v Gebruikersnaam v Type v Wachtwoorditem Bij het invoeren van legitimatiegegevens in het veld worden items die daarmee overeenkomen geaccentueerd weergegeven in de lijst.
Legitimatiegegevens wissen uit een verificatieservice U kunt legitimatiegegevens van een verificatieservice wissen uit de wallet.
Procedure 1. Klik in de Wallet Manager op de gebruikersnaam voor een verificatieservice. 2. U kunt de gebruiker wissen met een van de volgende opties: v Klik op Wissen. v Klik met de rechtermuisknop op het item en kies Legitimatiegegeven wissen. Het item wordt verwijderd van de lijst met verificatieservices in uw wallet.
Wachtwoorden bewerken U kunt de wachtwoorden van verificatieservices in uw wallet wijzigen.
Procedure 1. In het venster Wallet beheren klikt u op de gebruikersnaam van een verificatieservice. 2. Klik op Wachtwoord bewerken, of klik met de rechter muisknop op de gebruikersnaam en kies Wachtwoord bewerken. 3. Voer het nieuwe wachtwoord in. 4. Klik op OK om de wijziging te bevestigen.
Bewerken van instellingen van toepassing Als er twee of meer toepassingen aanwezig zijn voor dezelfde verificatieservice in uw wallet, kunt u de toepassingsinstellingen wijzigen.
Hoofdstuk 2. AccessAgent
15
Procedure 1. Klik op de verificatieservice. 2. Klik op Instellingen van de toepassing. U kunt ook met de rechter muisknop op het item klikken en kiezen voor Instellingen van de toepassing wijzigen. 3. In de kolom Wachtwoord invoeren geeft u de gewenste wijzigingen op. 4. Klik op Sluiten om de wijzigingen te bevestigen.
Wachtwoorden wijzigen Om ervoor te zorgen dat het wachtwoord niet in de openbaarheid raakt, kan uw organisatie wijziging van het wachtwoord verplicht stellen. Uw organisatie kan ook verlangen dat gebruikers wachtwoorden voor de wallet wijzigen na een opgegeven periode.
Procedure 1. In het berichtengebied dubbelklikt u op het pictogram AccessAgent, of klik met de rechtermuisknop op het AccessAgent-pictogram en selecteer de menuoptie Wachtwoord wijzigen. Het venster Sessiegegevens wordt afgebeeld. 2. Klik op Wachtwoord wijzigen. 3. Geef het oude wachtwoord op. 4. Geef het nieuwe wachtwoord op. Het nieuwe wachtwoord moet voldoen aan de aangegeven vereisten. 5. Geef het wachtoord nogmaals op in het venster Wachtwoord bevestigen. 6. Klik op Volgende. 7. Klik op OK. AccessAgent geeft een bericht als het wachtwoord is gewijzigd. 8. Klik op Sluiten om terug te keren naar uw bureaublad.
Wachtwoorden resetten zonder verbinding met een IMS Server In deze procedure wordt ervan uitgegaan dat u geen verbinding kunt maken met de IMS Server. In dit scenario hebt u zowel een opdrachtcode (request code) als een machtigingscode (authorization code) nodig om uw wachtwoord te resetten.
Procedure 1. Klik in het AccessAgent-navigatievenster op Wachtwoord resetten. 2. Geef uw gebruikersnaam op en klik op Volgende. Eer verschijnt een dialoogvenster van AccessAgent dat aangeeft dat er geen verbinding met IMS Server is. U moet een tijdelijk wachtwoord op de computer maken om AccessAgent te kunnen blijven gebruiken. 3. Klik op OK om het dialoogvenster af te sluiten. AccessAgent beeldt een aanvraagcode af. 4. Noteer de aanvraagcode die in het venster wordt afgebeeld. 5. Neem contact op met de helpdesk voor een machtigingscode. 6. Geef de machtigingscode op. 7. Klik op Volgende. 8. Voer het nieuwe wachtwoord in. Het nieuwe wachtwoord moet voldoen aan de aangegeven vereisten. 9. Geef het wachtoord nogmaals op in het venster Wachtwoord bevestigen. 10. Klik op Voltooien.
16
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
11. Klik op OK om het dialoogvenster af te sluiten.
Wachtwoorden resetten bij verbinding met een IMS Server In deze procedure wordt ervan uitgegaan dat u verbinding hebt met de IMS Server. In dit scenario hebt u een machtigingscode (authorization code) nodig om uw wachtwoord te resetten. Als er een reset van wachtwoord via zelfservice mogelijk is, kunnen gebruikers hun wachtwoord wijzigen zonder de helpdesk te hoeven bellen; dit kan door het beantwoorden van twee of meer geheime vragen.
Procedure 1. 2. 3. 4. 5.
Klik in het AccessAgent-navigatievenster op Wachtwoord resetten. Neem contact op met de helpdesk voor een machtigingscode. Geef de machtigingscode op. Klik op Volgende. Voer het antwoord op de geheime vraag in.
6. Klik op Volgende. 7. Voer het nieuwe wachtwoord in. Het nieuwe wachtwoord moet voldoen aan de aangegeven vereisten. 8. Geef het wachtoord nogmaals op in het venster Wachtwoord bevestigen. 9. Klik op Voltooien. 10. Klik op OK om het dialoogvenster af te sluiten.
Geheimen voor zelfservice instellen in AccessAgent U kunt extra geheime vragen en antwoorden opgeven.
Procedure 1. Dubbelklik op het pictogram AccessAgent in het systeemvak. Het venster Sessiegegevens wordt afgebeeld. 2. Selecteer Zelfservicegeheimen instellen. 3. Selecteer een nieuwe geheime vraag in de lijst. 4. Geef het antwoord op de geheime vraag. v Als u niet wilt dat het antwoord zichtbaar is, markeert u Verbergen. v Als u meer vragen wilt registreren markeert u Meer vragen registreren. Opmerking: Alle tekens van de ISO Latin-1 tekenset kunt u gebruiken voor het maken en resetten van geheimen, behalve de volgende tekens: v µ v ß 5. Klik op Volgende. 6. Selecteer een andere geheime vraag in de lijst en geef het bijbehorende antwoord op. 7. Klik op Volgende. v Als u hebt gekozen voor het registreren van meer vragen, selecteert u een andere geheime vraag en het overeenkomende antwoord. Klik op Voltooien. v Als u er voor kiest geen extra vragen te registreren, wordt het venster van AccessAgent gesloten en wordt uw nieuwe geheim opgeslagen.
Hoofdstuk 2. AccessAgent
17
Sterke verificatie negeren U kunt zich tijdelijk aanmelden bij AccessAgent zonder uw verificatieapparaat dat als tweede factor dient, zoals de RFID-kaart of smartcard.
Over deze taak Als er een verbinding met IMS Server is en het negeren van zelfservice is ingeschakeld, kan een gebruiker sterke verificatie omzeilen door twee of meer geheime vragen te beantwoorden. Als er geen verbinding met IMS Server is, neemt u contact met de helpdesk op voor een machtigingscode. Uw tijdelijke toegang verloopt als u een nieuw apparaat als tweede factor voor verificatie ontvangt of als de geldigheidsuur van de tijdelijke toegang verloopt.
Procedure 1. Start de computer. 2. Klik op Aanmelden in het navigatievenster van AccessAgent. 3. Voer uw gebruikersnaam en wachtwoord in. 4. Beantwoord de geheime vragen. 5. Optioneel: Als er geen verbinding met IMS Server is, neemt u contact op met de helpdesk voor een machtigingscode. Opmerking: Als u geen verbinding hebt met internet wordt er een aanvraagcode afgebeeld in het venster van AccessAgent. Geef de aanvraagcode door aan de medewerker van de helpdesk. De medewerker van de helpdesk verstrekt u vervolgens de machtigingscode. 6. Optioneel: Geef de machtigingscode op. 7. Klik op Volgende. U bent nu aangemeld bij AccessAgent.
18
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Hoofdstuk 3. AccessAssistant en Web Workplace Web Workplace is een webinterface waarmee gebruikers met een enkelvoudige aanmelding toegang krijgen tot hun webtoepassingen, als AccessAgent niet is geïnstalleerd op hun clientcomputers. AccessAssistant is de webinterface waarmee gebruikers hun toepassingswachtwoorden kunnen ophalen, een wachtwoord kunnen wijzigen en de legitimatiegegevens in hun wallet kunnen beheren. De volgende services zijn beschikbaar in AccessAssistant en Web Workplace: v Reset van ISAM ESSO-wachtwoord v v v v v
Ontgrendelen van Active Directory-account en Wallet Enkelvoudige aanmelding via het web Beheer van gebruikersaccounts voor toepassingen Reset van geheimen Optionele verificatie met twee factoren
Meer informatie over het werken met AccessAssistant en Web Workplace vindt u in de volgende onderwerpen: v “Registreren bij AccessAssistant of Web WorkPlace” v “Aanmelden bij AccessAssistant of Web Workplace” op pagina 20 v “Aanmelden met een tweede verificatiefactor” op pagina 20 v “Wachtwoorden opnieuw instellen” op pagina 21 v “Ontgrendelen van een Active Directory-account” op pagina 22\ v “Ophalen van wachtwoorden” op pagina 22 v “Uw toepassingsaccount beheren in de Wallet” op pagina 23 v “Geheimen opnieuw instellen” op pagina 23 v “Resetten van op OATH gebaseerde OTP-tokens in AccessAssistant of Web Workplace” op pagina 24 v “Bij de toepassing aanmelden via Web Workplace” op pagina 24 v “Aanmelden bij een toepassing met behulp van een tweede verificatiefactor” op pagina 24 v “Accounts aan toepassingen toevoegen” op pagina 25 v “Bewerken van toepassingswachtwoorden” op pagina 25 v “Accounts van toepassingen wissen” op pagina 25 v “Vastleggen van gebruikersnamen en wachtwoorden” op pagina 26 v “Voorkeuren voor aanmelding bij toepassingen instellen” op pagina 26 v “Het standaardaccount voor een account instellen” op pagina 26
Registreren bij AccessAssistant of Web WorkPlace Met behulp van AccessAssistant of Web Workplace kunt u zich aanmelden bij webtoepassingen van uw bedrijf, wanneer AccessAgent niet is geïnstalleerd. U kunt AccessAssistant of Web Workplace ook gebruiken voor het beheren van AccessProfiles, als u niet beschikt over AccessStudio.
Procedure 1. Open uw browser. Voor AccessAssistant v Als u gebruikmaakt van een werklastverdeler, gaat u naar https:// :/aawwp. v Als u geen gebruik maakt van een werklastverdeler, gaat u naar https:// :/aawwp. v Als de webserver correct is geconfigureerd, opent u https:// /aawwp. Bijvoorbeeld: https://server1:443/aawwp. Voor Web Workplace Open https:///aawwp?isWwp=true. Bijvoorbeeld: https://server1:443/aawwp?isWwp=true. Opmerking: Voor meer informatie neemt u contact op met de beheerder. 2. Klik in het navigatievenster op Registreren. 3. Geef uw Windows-gebruikersnaam en -wachtwoord op en klik op Volgende. 4. Kies een geheime vraag. Opmerking: v Het antwoord op deze vraag moet ten minste drie tekens lang zijn. v Selecteer Antwoord verbergen als u niet wilt dat de antwoorden worden afgebeeld. 5. Klik op Voltooien.
Aanmelden bij AccessAssistant of Web Workplace U kunt zich bij AccessAssistant of Web Workplace aanmelden met uw ISAM ESSOwachtwoord of uw Active Directory-wachtwoord, wanneer wachtwoordsynchronisatie van Active Directory is ingeschakeld.
Over deze taak Na aanmelding kunt u beschikken over volledige toegang tot de functies en services van AccessAssistant of Web Workplace. U hebt toegang tot uw wallet en uw toepassingen. U kunt AccessProfiles en uw wachtwoorden, geheimen en overige items beheren.
Procedure 1. Open AccessAssistant of Web Workplace. Zie “Registreren bij AccessAssistant of Web WorkPlace” op pagina 19. 2. Voer uw gebruikersnaam en wachtwoord voor IBM Security Access Manager for Enterprise Single Sign-On in. 3. Klik op Volgende.
Aanmelden met een tweede verificatiefactor Een tweede verificatiefactor kan nodig zijn wanneer u zich aanmeldt bij AccessAssistant of Web Workplace.
20
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Procedure 1. Open AccessAssistant of Web Workplace. 2. Voer uw gebruikersnaam en wachtwoord voor IBM Security Access Manager for Enterprise Single Sign-On in. U wordt gevraagd om een tweede verificatiefactor op te geven. 3. Geef een van de volgende codes of het wachtwoord op, afhankelijk van wat van toepassing is: v De machtigingscode zoals afgegeven door de helpdesk. v De Mobile ActiveCode die is verzonden naar uw mobiele telefoon of emailadres. v Eenmalig wachtwoord (One-time Password, OTP) van uw OTP-token. 4. Klik op Volgende.
Wachtwoorden opnieuw instellen U kunt uw ISAM ESSO-wachtwoord opnieuw instellen in AccessAssistant of Web Workplace, met behulp van geheimen of met een machtigingscode.
Procedure v Als zelfservice voor opnieuw instellen van het wachtwoord is ingeschakeld: 1. Klik in het navigatievenster van AccessAssistant of Web Workplace op Wachtwoord opnieuw instellen. 2. Geef uw IBM Security Access Manager for Enterprise Single Sign-On-gebruikersnaam op en klik op Volgende. 3. Selecteer een vraag in de lijst van vragen en klik op Volgende. Opmerking: Beantwoord alle geheime vragen. 4. Geef uw nieuwe ISAM ESSO-wachtwoord op. 5. Geef ter bevestiging uw nieuwe wachtwoord nogmaals op en klik op Volgende. v Als zelfservice voor opnieuw instellen van het wachtwoord niet is ingeschakeld en een geheim niet nodig is: 1. Klik in het navigatievenster van AccessAssistant of Web Workplace op Wachtwoord opnieuw instellen. 2. Geef uw IBM Security Access Manager for Enterprise Single Sign-On-gebruikersnaam op en klik op Volgende. 3. Geef de machtigingscode op die u hebt verkregen van de helpdesk en klik op Volgende. Opmerking: De machtigingscode is niet hoofdlettergevoelig. 4. Geef uw nieuwe ISAM ESSO-wachtwoord op. 5. Geef het nieuwe wachtwoord ter bevestiging nogmaals op. 6. Klik op Volgende. v Als zelfservice voor opnieuw instellen van het wachtwoord niet is ingeschakeld en een geheim nodig is: 1. Klik in het navigatievenster van AccessAssistant of Web Workplace op Wachtwoord opnieuw instellen. 2. Voer uw gebruikersnaam voor IBM Security Access Manager for Enterprise Single Sign-On in. 3. Klik op Volgende. Hoofdstuk 3. AccessAssistant en Web Workplace
21
4. Geef de machtigingscode op die u hebt verkregen van de helpdesk en klik op Volgende. Opmerking: De machtigingscode is niet hoofdlettergevoelig. 5. Selecteer de vraag voor het primaire geheim in de lijst bij Vraag, geeft het bijbehorende antwoord op en klik op Volgende. Opmerking: Hert primaire geheim is het eerste geheim waarvoor u een antwoord opgeeft wanneer u zich registreert. Dit primaire geheim (antwoord) kan niet worden gewijzigd. 6. Geef uw nieuwe ISAM ESSO-wachtwoord op. 7. Geef ter bevestiging uw nieuwe wachtwoord nogmaals op en klik op Volgende.
Ontgrendelen van een Active Directory-account Met een machtigingscode en een geheim kunt u uw Active Directory-account en de wallet ontgrendelen.
Voordat u begint Neem voor een machtigingscode contact op met de helpdesk.
Procedure 1. Klik in het navigatievenster van AccessAssistant of Web Workplace op Account ontgrendelen. 2. Voer uw gebruikersnaam voor IBM Security Access Manager for Enterprise Single Sign-On in. 3. Selecteer een domein. 4. 5. 6. 7. 8.
Klik op Volgende. Geef de machtigingscode op. Klik op Volgende. Geef het antwoord op de geheime vraag. Klik op Volgende.
Ophalen van wachtwoorden U kunt het wachtwoord van uw toepassing in AccessAssistant ophalen door het toepassingswachtwoord af te laten beelden in de browser of door het te kopiëren in het klembord.
Procedure 1. Klik in het navigatievenster op Mijn wallet. 2. Optioneel: Het wachtwoord voor uw toepassing afbeelden via AccessAssistant a. Selecteer Wachtwoord afbeelden in de browser. b. Selecteer de toepassing waarvoor u het wachtwoord wilt bekijken en klik op Wachtwoord ophalen. Het wachtwoord wordt afgebeeld. Klik op << om het afgebeelde wachtwoord te verbergen. 3. Optioneel: Het wachtwoord voor uw toepassing kopiëren vanuit AccessAssistant
22
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
a. Selecteer Wachtwoord kopiëren naar het klembord zodat het geplakt kan worden in het wachtwoordveld. b. Klik op Wachtwoord ophalen. Het wachtwoord wordt gekopieerd naar het klembord, waarna u het kunt plakken in het wachtwoordveld. Opmerking: Het wachtwoord wordt voor een opgegeven periode gekopieerd en geplakt in het klembord. Hierna kunt u het niet meer kopiëren en plakken.
Uw toepassingsaccount beheren in de Wallet In AccessAssistant Mijn wallet kunt u een toepassingsaccount toevoegen of wissen. U kunt ook het wachtwoord voor een bepaald toepassingsaccount wijzigen.
Procedure v Een toepassingsaccount verwijderen uit de Wallet 1. Selecteer het vakje voor de toepassing die u wilt wissen. U kunt meerdere toepassingen uit de lijst verwijderen door de desbetreffende selectievakjes te selecteren. 2. Klik op Wissen. U wordt gevraagd om de wisactie te bevestigen. 3. Klik op OK. De geselecteerde toepassing wordt verwijderd uit de lijst. v Legitimatiegegevens voor een nieuwe account opgeven voor een bepaalde toepassing 1. Klik op Toevoegen. 2. Selecteer de toepassing waarvoor u de legitimatiegegevens van een nieuw account wilt toevoegen. 3. Geef uw gebruikersnaam voor de toepassing op. 4. Geef uw wachtwoord op en geef het ter bevestiging nogmaals op. 5. Klik op Opslaan. Het legitimatiegegeven van de nieuwe account wordt nu afgebeeld in de lijst van Mijn wallet. v Het wachtwoord wijzigen voor een bepaald toepassingsaccount 1. Selecteer de toepassing waarvoor u het wachtwoord wilt wijzigen. 2. Geef uw nieuwe wachtwoord op en geef het ter bevestiging nogmaals op. 3. Klik op Bijwerken.
Geheimen opnieuw instellen Als u uw geheime vragen en antwoorden bent vergeten, kunt u deze opnieuw instellen in AccessAssistant en Web Workplace. U hebt geheimen nodig om zelf een wachtwoord opnieuw te kunnen instellen.
Over deze taak Belangrijk: Het primaire geheim kan niet opnieuw worden ingesteld. Vergeet niet uw primaire geheim.
Procedure 1. Klik in het navigatievenster op Geheimen opnieuw instellen. 2. Selecteer een nieuwe geheime vraag in de lijst. 3. Geef het antwoord op de geheime vraag. Opmerking: Hoofdstuk 3. AccessAssistant en Web Workplace
23
Alle tekens van de ISO Latin-1 tekenset kunt u gebruiken voor het maken en resetten van geheimen, behalve de volgende tekens: v µ v ß Als u niet wilt dat het antwoord zichtbaar is, selecteert u Antwoord verbergen. 4. Herhaal de stappen 2 op pagina 23 tot en met 3 op pagina 23 totdat u drie geheimen hebt geregistreerd. 5. Klik op Opnieuw instellen.
Resetten van op OATH gebaseerde OTP-tokens in AccessAssistant of Web Workplace U kunt AccessAssistant of Web Workplace gebruiken voor het resetten van op OATH gebaseerde OTP-tokens.
Over deze taak Het OTP kan niet gesynchroniseerd zijn met de IMS Server omdat de A-Key gebruik maakt van OATH OTP, dat eventgebaseerd is. Het OTP kan niet synchroon zijn als de gebruiker de knop voor het token te vaak indrukt, zonder het afgebeelde OTP voor verificatie te gebruiken.
Procedure 1. Klik in het navigatievenster op OTP-token opnieuw instellen. 2. Selecteer het serienummer van het token. 3. Genereer drie opeenvolgende OTP's met behulp van het OTP-token en geef deze alle drie op in de desbetreffende velden. 4. Klik op Opnieuw instellen.
Bij de toepassing aanmelden via Web Workplace Enterprise- en persoonlijke webtoepassingen die voor u beschikbaar zijn, worden vermeld in Mijn Web Workplace. U kunt zich bij een van deze toepassingen aanmelden door te klikken op de naam van de toepassing.
Procedure 1. Klik in het navigatievenster op Mijn Web Workplace. 2. Klik op de toepassing. 3. Als u meerdere gebruikersaccounts hebt ingesteld voor de toepassing, selecteert u uw favoriete gebruikersnaam en meldt u zich aan bij de geselecteerde toepassing. 4. Selecteer Altijd deze gebruikersnaam voor deze toepassing gebruiken als u zich altijd bij de geselecteerde toepassing wilt aanmelden met de geselecteerde gebruikersnaam. 5. Klik op OK. De toepassing wordt weergegeven in een nieuw venster.
Aanmelden bij een toepassing met behulp van een tweede verificatiefactor Een tweede verificatiefactor kan nodig zijn wanneer u zich aanmeldt bij toepassingen in Web Workplace.
24
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Procedure 1. 2. 3. 4.
Klik in het navigatievenster op Mijn Web Workplace. Klik op de toepassing. Voer uw gebruikersnaam en wachtwoord in. Geef een van de volgende codes of het wachtwoord op, afhankelijk van wat van toepassing is: v De machtigingscode zoals afgegeven door de helpdesk. v De Mobile ActiveCode die is verzonden naar uw mobiele telefoon of emailadres. v Eenmalig wachtwoord (One-time Password, OTP) van uw OTP-token.
Accounts aan toepassingen toevoegen U kunt extra accounts toevoegen aan uw toepassingen die worden vermeld in Mijn Web Workplace
Procedure 1. Klik in het navigatievenster op de pagina Web Workplace. 2. Klik op Beheren. 3. Klik op Gebruikersnaam toevoegen om een nieuw gebruikersaccount toe te voegen voor de geselecteerde toepassing. 4. Selecteer een toepassing in de lijst. 5. 6. 7. 8.
Voer een gebruikersnaam in. Typ een wachtwoord. Geef het wachtwoord ter bevestiging nogmaals op. Klik op Opslaan.
Bewerken van toepassingswachtwoorden Als u het wachtwoord voor een geselecteerde toepassing in uw wallet wilt wijzigen, kunt u dat doen in Mijn Web Workplace.
Procedure 1. Klik in het navigatievenster op de pagina Web Workplace. 2. Klik op Beheren. 3. Klik naast de naam van de gebruiker op Wachtwoord bewerken. Het venster Wachtwoord bewerken wordt afgebeeld. 4. Voer een nieuw wachtwoord in. 5. Geef het nieuwe wachtwoord ter bevestiging nogmaals op. 6. Klik op Bijwerken om de wijzigingen op te slaan.
Accounts van toepassingen wissen Toepassingsaccounts die niet meer worden gebruikt, kunt u wissen met behulp van Mijn Web Workplace.
Procedure 1. Klik in het navigatievenster op de pagina Web Workplace. 2. Klik op Beheren. 3. Selecteer het vakje naast het overeenkomende account. Hoofdstuk 3. AccessAssistant en Web Workplace
25
4. Klik op Wissen.
Vastleggen van gebruikersnamen en wachtwoorden Web Workplace gebruiken voor het vastleggen van de gebruikersnaam en het wachtwoord voor automatische aanmelding bij een toepassing.
Procedure 1. 2. 3. 4.
Klik in het navigatievenster op de pagina Web Workplace. Klik op Beheren. Klik op de naam van de toepassing. Voer uw gebruikersnaam en wachtwoord voor de toepassing in.
5. Geef het wachtwoord ter bevestiging nogmaals op. 6. Klik op Opslaan.
Voorkeuren voor aanmelding bij toepassingen instellen U kunt voor een toepassing aanmeldingsvoorkeuren instellen. U kunt bijvoorbeeld automatische aanmelding bij een toepassing instellen.
Over deze taak Als er slechts één account is voor de toepassing, is het vakje Automatisch aanmelden standaard geselecteerd. Als er twee of meer toepassingen zijn, kunt u automatische aanmelding voor elke toepassing uitschakelen. Als er meerdere accounts zijn voor een toepassing, kunt u het selectievakje voor Automatisch aanmelden niet leegmaken voor het eerste account dat is ingesteld voor automatische aanmelding. U kunt echter wel een ander account selecteren en dat instellen voor automatische aanmelding.
Procedure 1. Klik in het navigatievenster op de pagina Web Workplace. 2. Klik op Beheren. 3. Selecteer het vakje Automatisch aanmelden als u met de geselecteerde gebruikersnaam automatisch wilt aanmelden bij de toepassing. 4. Klik op Bijwerken om de wijzigingen op te slaan.
Het standaardaccount voor een account instellen Als u twee accounts hebt voor dezelfde toepassing, kunt u in Web Workplace het standaardaccount voor de toepassing instellen die gebruikt wordt voor automatische aanmelding.
Procedure 1. 2. 3. 4.
26
Klik in het navigatievenster op de pagina Web Workplace. Klik op Beheren. Selecteer het vakje van het account dat u wilt instellen als het standaardaccount Klik op Bijwerken.
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Kennisgevingen Deze informatie is ontwikkeld voor producten en diensten in de V.S. Mogelijk levert IBM niet alle in dit document genoemde producten, diensten of functies in alle andere landen. Neem contact op met uw IBM-vertegenwoordiger voor informatie over de producten en diensten die bij u beschikbaar zijn. Iedere verwijzing naar een product, programma of service van IBM is niet bedoeld om te verklaren of te suggereren dat alleen dit product, programma of deze service van IBM mag worden gebruikt. Functioneel gelijkwaardige producten, programma's of services kunnen in plaats daarvan worden gebruikt, mits dergelijke producten, programma's of services geen inbreuk maken op intellectuele eigendomsrechten van IBM. De gebruiker is verantwoordelijk voor de samenwerking van IBM-producten of -diensten met producten of diensten van anderen, tenzij uitdrukkelijk anders aangegeven door IBM. Mogelijk heeft IBM octrooien of octrooi-aanvragen met betrekking tot bepaalde in deze publicatie genoemde producten. De levering van dit document geeft u geen recht op een licentie voor deze octrooien. Vragen over licenties kunt u richten aan: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 U.S.A. Voor licentievragen over DBCS-informatie (Double Byte Character Set) neemt u contact op met het IBM Intellectual Property Department in uw land of stelt u de vragen schriftelijk aan: Intellectual Property Licensing Legal and Intellectual Property Law IBM Japan, Ltd. 19-21, Nihonbashi-Hakozakicho, Chuo-ku Tokyo 103-8510, Japan Deze alinea heeft geen betrekking op het Verenigd Koninkrijk of enig ander land waar dergelijke bepalingen in tegenstrijd zijn met de lokale wetgeving. INTERNATIONAL BUSINESS MACHINES CORPORATION LEVERT DEZE PUBLICATIE OP "AS IS"-BASIS, ZONDER ENIGE GARANTIE, UITDRUKKELIJK NOCH STILZWIJGEND, MET INBEGRIP VAN, MAAR NIET BEPERKT TOT, DE GARANTIES OF VOORWAARDEN VAN VOORGENOMEN GEBRUIK OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. In sommige landen is het uitsluiten van stilzwijgende garanties niet toegestaan, zodat bovenstaande uitsluiting mogelijk niet op u van toepassing is. Deze informatie kan technische onnauwkeurigheden of typografische fouten bevatten. Periodiek worden wijzigingen aangebracht aan de informatie in deze publicatie. Deze wijzigingen worden opgenomen in nieuwe uitgaven van deze publicatie. IBM kan zonder voorafgaand bericht wijzigingen en/of verbeteringen aanbrengen in de producten en/of programma's die in deze publicatie worden beschreven.
Iedere verwijzing in dit document naar een niet-IBM-website wordt alleen verstrekt voor uw gemak en dient niet om op welke manier dan ook deze websites aan te bevelen. Het materiaal op deze websites maakt geen deel uit van het materiaal bij dit IBM-product. U gebruikt deze websites op eigen risico. IBM mag informatie die door u wordt verstrekt gebruiken en distribueren op elke manier die haar goeddunkt zonder daarbij verplichtingen jegens u aan te gaan. Licentiehouders die informatie over dit programma willen ontvangen over: (i) het uitwisselen van informatie tussen in eigen beheer gemaakte programma's en andere programma's (waaronder dit programma) en (ii) het gemeenschappelijk gebruik van de uitgewisselde informatie, dienen contact op te nemen met: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 U.S.A. Dergelijke informatie kan beschikbaar zijn onder bepaalde voorwaarden en bepalingen waaronder, in bepaalde gevallen, betaling van een vergoeding. Het gelicentieerde programma dat in dit document wordt beschreven en al het bij dit programma behorende materiaal, wordt door IBM geleverd onder de voorwaarden van de IBM Customer Agreement, IBM International Program License Agreement of enige andere gelijkwaardige overeenkomst. Alle gegevens in dit gedeelte over prestaties zijn vastgesteld in een gecontroleerde omgeving. Resultaten die worden behaald in andere verwerkingsomgevingen kunnen daarom afwijken. Bepaalde metingen zijn mogelijk verricht aan systemen die nog in de ontwikkelingsfase verkeerden, en er is geen garantie dat de resultaten hiervan gelijk zijn aan die van algemeen verkrijgbare systemen. Bovendien zijn bepaalde metingen schattingen die door extrapolatie tot stand zijn gekomen. Werkelijke resultaten kunnen variëren. Gebruikers van dit document dienen de toepasselijke gegevens voor hun eigen omgeving te verifiëren. Informatie over niet door IBM geleverde producten is verkregen van de leveranciers van de desbetreffende producten, uit de publicaties van deze leveranciers of uit andere publiek toegankelijke bronnen. IBM heeft die producten niet getest en kan niet bevestigen dat de gegevens op het gebied van prestaties, compatibiliteit of enig ander gebied, correct zijn. Vragen met betrekking tot de mogelijkheden van niet-IBM producten dienen te worden gericht aan de leveranciers van die producten. Alle mededelingen over toekomstige koers of intenties van IBM zijn onderworpen aan wijziging zonder aankondiging en vertegenwoordigen alleen doelen en doelstellingen. Alle vermelde IBM-prijzen zijn door IBM voorgestelde kleinhandelsprijzen, zijn recent en zijn onderworpen aan wijziging zonder aankondiging. Dealerprijzen kunnen variëren. Deze informatie is alleen bedoeld voor planningsdoelstellingen. Deze informatie wordt mogelijk gewijzigd voordat het beschreven product beschikbaar wordt. Deze informatie bevat voorbeelden van gegevens en rapporten die tijdens de dagelijkse zakelijke activiteiten worden gebruikt. Om deze zo volledig mogelijk te illus-
28
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
treren, bevatten de voorbeelden de namen van personen, bedrijven, merken en producten. Al deze namen zijn fictief en eventuele overeenkomsten met de namen en adressen van bestaande bedrijven zijn toevallig. COPYRIGHTLICENTIE: Deze informatie bevat voorbeelden van toepassingen in de brontaal die programmeertechnieken op verschillende besturingsplatforms kunnen toelichten. U kunt deze voorbeeldprogramma's zonder kosten jegens IBM gratis kopiëren, wijzigen en distribueren om toepassingsprogramma's te ontwikkelen, te gebruiken, te verhandelen of te distribueren die in overeenstemming worden gebracht met de API (Application Programming Interface) voor het besturingsplatform waarvoor de voorbeeldprogramma's zijn geschreven. Deze voorbeelden zijn niet uitgebreid onder alle omstandigheden getest. IBM kan daarom niets garanderen en is niet verantwoordelijk voor de betrouwbaarheid, de duurzaamheid of het functioneren van deze programma's. U kunt deze voorbeeldprogramma's gratis kopiëren, wijzigen en distribueren om toepassingsprogramma's te ontwikkelen, te gebruiken, te verhandelen of te distribueren die in overeenstemming worden gebracht met de API's (Application Programming Interface) van IBM. Indien u deze publicatie in elektronische vorm bekijkt, worden foto's en illustraties mogelijk niet afgebeeld.
Handelsmerken IBM, het IBM-logo en ibm.com zijn merken van International Business Machines Corp., die wereldwijd in vele rechtsgebieden zijn geregistreerd. Andere namen van producten en diensten kunnen handelsmerken van IBM of van andere ondernemingen zijn. Een actuele lijst van IBM handelsmerken is beschikbaar op internet onder Copyright and trademark information op www.ibm.com/legal/ copytrade.shtml. Adobe, Acrobat, PostScript en alle op Adobe gebaseerde merken zijn handelsmerken van Adobe Systems Incorporated in de Verenigde Staten en/of andere landen. IT Infrastructure Library is een merk van de Central Computer and Telecommunications Agency, die nu deel uitmaakt van het Office of Government Commerce. Intel, het Intel-logo, Intel Inside, het Intel Inside-logo, Intel Centrino, het Intel Centrino-logo, Celeron, Intel Xeon, Intel SpeedStep, Itanium en Pentium zijn merken van Intel Corporation of dochterondernemingen in de Verenigde Staten en/of andere landen. Linux is een merk van Linus Torvalds in de Verenigde Staten en/of andere landen. Microsoft, Windows, Windows NT en het Windows-logo zijn merken van Microsoft Corporation in de Verenigde Staten en/of andere landen. ITIL is een handelsmerk van het Office of Government Commerce, en is geregistreerd bij het U.S. Patent and Trademark Office. UNIX is een merk van The Open Group in de Verenigde Staten en andere landen.
Kennisgevingen
29
Java en alle op Java gebaseerde merken en logo's zijn merken van Oracle en/of gelieerde bedrijven.
Cell Broadband Engine is een merk van Sony Computer Entertainment, Inc. in de Verenigde Staten en/of andere landen en wordt onder die licentie gebruikt. Linear Tape-Open, LTO, het LTO-logo, Ultrium en het Ultrium-logo zijn merken van HP, IBM Corp. en Quantum in de V.S. en andere landen. Andere benamingen van bedrijven, producten en diensten kunnen merken zijn van andere ondernemingen.
Informatie over privacybeleid IBM Software-producten, waaronder oplossingen voor software als service, (“Softwareoplossingen”) kunnen gebruikmaken van cookies of andere technologieën om informatie over het gebruik van het product te verzamelen voor het verbeteren van de gebruikerservaring, het afstemmen van de interactie op eindgebruikers of voor andere doeleinden. In veel gevallen wordt geen identificeerbare informatie verzameld door de Softwareoplossingen. Sommige Softwareoplossingen kunnen u de mogelijkheid bieden persoonlijk identificeerbare gegevens te verzamelen. Als deze Softwareoplossing cookies gebruikt voor het verzamelen van persoonlijk identificeerbare informatie, wordt specifieke informatie over het gebruik van cookies door deze oplossing hieronder uiteengezet. Deze Softwareoplossing maakt gebruik van andere technologieën om voor elke gebruiker de gebruikersnaam, het wachtwoord of andere persoonsgebonden informatie te verzamelen voor doeleinden zoals sessiebeheer, verificatie, SSO-configuratie, het volgen van het gebruik of andere functionele doeleinden. Deze technologieën kunt u uitschakelen, maar daarmee wordt ook de bijbehorende functionaliteit uitgeschakeld. Als de configuraties die zijn geïmplementeerd voor deze Softwareoplossing u als klant de mogelijkheid bieden om persoonlijk identificeerbare informatie van eindgebruikers te verzamelen via cookies en andere technologieën, moet u zelf juridisch advies inwinnen over eventuele wetten die van toepassing zijn op dergelijke gegevensverzameling, met inbegrip van vereisten voor kennisgeving en toestemming. Voor meer informatie over het gebruik van de diverse technologieën, met inbegrip van cookies, voor deze doeleinden, raadpleegt u in IBM’s Privacy Policy op http://www.ibm.com/privacy en IBM’s Online Privacy Statement op http:// www.ibm.com/privacy/details/us/en de secties “Cookies, Web Beacons and Other Technologies” en “Software Products and Software-as-a Service”.
30
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Woordenlijst Deze verklarende woordenlijst bevat definities voor IBM Security Access Manager for Enterprise Single Sign-On. In deze verklarende woordenlijst worden de volgende verwijzingen gebruikt: v Zie verwijst verwijst vanuit een term naar een synoniem dat de voorkeur verdient. Bij een afkorting of acroniem wordt er verwezen naar de volledige term. v Zie ook verwijst u naar een verwante of contrasterende term. Wilt u woordenlijsten voor andere IBM-producten zien, ga dan naar www.ibm.com/software/ globalization/terminology (wordt geopend in een nieuw venster).
A accountgegevens De aanmeldingsgegevens die vereist zijn voor de controle van een verificatieservice. Deze kunnen bestaan uit de gebruikersnaam, het wachtwoord en de verificatieservice waarvoor de aanmeldingsgegevens worden opgeslagen. pakket voor accountgegevens Een gegevensstructuur die legitimatiegegevens van gebruikers in het geheugen houdt op het moment dat enkelvoudige aanmelding voor een toepassing wordt uitgevoerd. accountgegevensitem De legitimatiegegevens van de gebruiker die vereist zijn voor aanmelding. sjabloon voor accountgegevensitem Een sjabloon voor het definiëren van een gegevensitem van een account. sjabloon voor accountgegevens Een sjabloon voor het definiëren van de indeling van de accountgegevens die moeten worden opgeslagen voor legitimatiegegevens die worden vastgelegd met een bepaald AccessProfile. actie
Voor profielen is dit een actie die wordt uitgevoerd in reactie op een trigger. Bijvoorbeeld het automatisch vullen met een
gebruikersnaam en wachtwoord zodra een aanmeldingsvenster wordt afgebeeld. Active Directory (AD) Een hiërarchische directoryservice waarmee gecentraliseerd , beveiligd beheer mogelijk is van een geheel netwerk; een centrale component van het Microsoft Windows-platform. Active Directory-legitimatiegegevens De gebruikersnaam en het wachtwoord voor Active Directory. Wachtwoordsynchronisatie van Active Directory Een functie van IBM Security Access Manager for Enterprise Single Sign-On voor het synchroniseren van het ISAM ESSOwachtwoord met het Active Directorywachtwoord. Actieve RFID (active radio frequency identification) Een tweede verificatiefactor en aanwezigheidsdetectie. Zie ook RFID (radio frequency identification). actieve RFID Zie Actieve RFID (active radio frequency identification). AD
Zie Active Directory.
beheerder Een persoon die verantwoordelijk is voor beheertaken zoals voor toegangsmachtigingen en contentbeheer. Beheerders kunnen ook machtigingsniveaus verlenen aan gebruikers. API
Zie application programming interface.
toepassing Een systeem dat de gebruikersinterface levert voor het lezen of opgeven van de legitimatiegegevens voor verificatie. toepassingenbeleid Een verzameling beleidsdefinities en kenmerken die de toegang tot toepassingen bepalen. application programming interface (API) Een interface waarmee een toepassingsprogramma dat is geschreven in een hogere programmeertaal, specifieke gege-
31
loopt, maar waarbij cijfers, Engels en andere links-naar-rechtse talen van links naar rechts worden geschreven.
vens of functies van het besturingssysteem of van een ander programma kan gebruiken. audit
Een proces dat activiteit van de gebruiker, beheerder en helpdesk vastlegt
verificatiefactor Het apparaat, de biometrische gegevens of geheimen die vereist zijn als legitimatiegegevens voor de validatie van digitale ID's. Voorbeelden zijn wachtwoorden, smartcard, biometrische gegevens en eenmalige wachtwoordtokens. verificatieservice Een service voor het controleren van de geldigheid van een account; toepassingen controleren op basis van een eigen gebruikersarchief of een bedrijfsadresboek. autorisatiecode Een alfanumerieke code die wordt gegenereerd voor beheerfuncties, zoals voor het resetten van wachtwoorden of het negeren van verificatie met twee factoren. automatisch vastleggen Een proces waarmee het systeem legitimatiegegevens kan verzamelen en opnieuw kan gebruiken voor verschillende toepassingen. Deze legitimatiegegevens worden vastgelegd wanneer de gebruiker deze informatie voor de eerste keer opgeeft, waarbij deze worden opgeslagen en beveiligd voor later gebruik. automatische aanmelding Een functie waarmee gebruikers zich kunnen aanmelden bij het automatiseringssysteem voor aanmelden, waarna het systeem de gebruiker aanmeldt bij alle andere toepassingen.
o basis-DN Een naam die het beginpunt aangeeft voor zoekacties op de directoryserver. basisimage Een sjabloon voor een virtueel bureaublad. bidirectionele taal Een taal die gebruikmaakt van een script, zoals Arabisch en Hebreeuws, waarbij de tekst horizontaal van rechts naar links
32
bind-DN Een naam die de legitimatiegegevens aangeeft die de toepassingenserver gebruikt bij het maken van een verbinding met een directoryservice. De unieke naam geeft een unieke vermelding van een item in een directory aan. biometrische gegevens De identificatie van een gebruiker op basis van lichamelijke kenmerken, zoals vingerafdruk, iris, gezicht, stem of het handschrift.
A CA
Zie certificaatgever (certificate authority, CA).
CAPI
Zie Cryptografische API.
Card Serial Number (CSN) Een uniek gegevensitem dat een hybride smartcard aangeeft. Dit heeft niet betrekking op de certificaten die zijn geïnstalleerd in de smartcard. CCOW Zie Clinical Context Object Workgroup (CCOW). cel
Een groep van beheerde processen die zijn verenigd in dezelfde Deployment Manager en waarin high-availability kerngroepen in kunnen voorkomen.
certificaat Binnen de computerbeveiliging is dit een digitaal document dat een openbare sleutel koppelt aan de identiteit van de certificaateigenaar, waardoor het mogelijk wordt om de identiteit van die eigenaar te controleren. Een certificaat wordt uitgegeven door een certificaatgever en bevat een digitale ondertekening van deze instance. Zie ook certificaatgever (certificate authority, CA). certificaatgever (CA) Engelse term: Certificate Authority (CA) Een betrouwbare externe organisatie of onderneming die digitale certificaten verstrekt. De certificaatgever controleert normaal gesproken de identiteit van de individuen aan wie het unieke certificaat is verleend. Zie ook certificaat.
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
CLI
Zie opdrachtregelinterface.
Clinical Context Object Workgroup (CCOW) Een leveranciers-onafhankelijke standaard voor de uitwisseling van gegevens tussen klinische toepassingen in de gezondheidszorg. cluster Een groep toepassingenservers die samenwerken voor het balanceren van de werklast en voor failover. opdrachtregelinterface (CLI) Een computerinterface waarin de invoer en uitvoer met tekst plaatsvindt. legitimatiegegevens Informatie die wordt verkregen tijdens de verificatiefase, die een gebruiker, groepsassociaties, of andere beveiligingsgerelateerde identiteitskenmerken beschrijft en die wordt gebruikt voor het uitvoeren van services zoals autorisatie, controle of delegatie. Een gebruikers-ID en wachtwoord zijn bijvoorbeeld legitimatiegegevens die de toegang tot het netwerk en de systeemresources autoriseren. cryptografische API (CAPI) Een API (application programming interface) die services verschaft waarmee ontwikkelaars met behulp van cryptografie toepassingen kunnen beveiligen. Dit is een set dynamisch gekoppelde bibliotheken die een abstractielaag verschaft waarmee programmeurs de code voor het versleutelen van de gegevens kunnen isoleren. cryptographic service provider (CSP) Een functie van het i5/OS-besturingssysteem dat API's levert. Met de CCA Cryptographic Service Provider kan een gebruiker functies op de 4758 Coprocessor uitvoeren. CSN
Zie Card Serial Number.
CSP
Zie cryptographic service provider (CSP).
G dashboard Een interface waarin gegevens uit een veelheid aan bronnen bijeen wordt gebracht en die een gebundeld beeld geeft van relevante informatie, binnen de context.
databaseserver Een softwareprogramma dat gebruik maakt van een databasemanager om databaseservices te verzorgen voor andere softwareprogramma's of computers. gegevensbron Het middel waarmee een toepassing toegang krijgt tot gegevens uit een database. Deployment Manager Een server die bewerkingen beheert en configureert voor een logische groep of cel van andere servers. Deployment Manager-profiel Een runtime omgeving van WebSphere Application Server die bewerkingen voor een logische groep, of cel, van andere servers beheert. deprovision Een service of component verwijderen. Deprovision van een account geeft bijvoorbeeld aan dat een account uit een resource wordt verwijderd. Zie ook provisioning. bureaubladenpool Een verzameling virtuele bureaubladen met een vergelijkbare configuratie die bedoeld is voor een bepaalde groep gebruikers. directory Een bestand met de namen en stuurinformatie voor objecten of andere directory's. directoryservice Een lijst van namen, profielgegevens en machineadressen van elke gebruiker en resource op het netwerk. Deze beheert accounts en netwerkbevoegdheden. Als er een gebruikersnaam wordt gestuurd, retourneert deze de kenmerken van de persoon, waaronder mogelijk telefoonnummer en een e-mailadres. Directoryservices maken gebruik van zeer gespecialiseerde databases die gewoonlijk hiërarchisch ontworpen zijn en korte opzoektijden kennen. herstel na calamiteiten Het proces voor het herstellen van een database, systeem of beleidsdefinities na het gedeeltelijk of volledig buiten gebruik raken van een vestiging, als gevolg van een calamiteit zoals een aardbeving of
Woordenlijst
33
brand. Voor herstel na een calamiteit is doorgaans een volledige backup op een andere locatie nodig. locatie voor herstel na calamiteiten Een secundaire locatie voor de productieomgeving in geval van een calamiteit. unieke naam (DN) De unieke naam waarmee een vermelding in een woordenboek wordt aangegeven. Een DN-naam bestaat uit kenmerk:waardeparen, gescheiden door komma's. Bijvoorbeeld CN=persoonsnaam en C=land of regio. DLL
Zie Dynamic Link Library.
DN
Zie unieke naam.
DNS
Zie domeinnaamserver.
domain name server (DNS) Een serverprogramma dat namen converteert naar adressen door domeinnamen toe te wijzen aan IP-adressen. dynamic link library (DLL) Een bestand dat uitvoerbare code en gegevens bevat en dat tijdens loadtime of runtime aan een programma wordt gekoppeld, niet tijdens de verbinding. De code en gegevens in een DLL kunnen door meerdere toepassingen tegelijkertijd worden gebruikt.
eventcode Een die een specifieke event aangeeft die wordt gevolgd en vastgelegd in de tabellen van het auditlogboek.
N failover Een automatische bewerking waarbij er bij storing in hardware, software of netwerk wordt overgeschakeld op een redundant of standby systeem of knooppunt. snel overschakelen naar gebruiker Een functie waarmee gebruikers kunnen schakelen tussen gebruikersaccounts op een enkel werkstation zonder toepassingen af te sluiten en zich af te melden. Federal Information Processing Standard (FIPS) Een standaard die is opgesteld door het National Institute of Standards and Technology, voor situaties waarin nationale of internationale standaarden niet beschikbaar zijn dan wel onvoldoende zijn met betrekking tot de vereisten van de overheid van de V.S. FIPS fixpack Een cumulatieve verzameling van fixes die beschikbaar wordt gesteld tussen geplande vernieuwingspakketten of releases. Met een fixpack wordt een systeem bijgewerkt naar een bepaald onderhoudsniveau.
N bedrijfsdirectory Een directory met gebruikersaccounts die de IBM Security Access Manager for Enterprise Single Sign-On-gebruikers aangeven. Deze controleert legitimatiegegevens van gebruikers tijdens registratie en aanmelding als het wachtwoord gesynchroniseerd is met het wachtwoord in de bedrijfsdirectory. Een voorbeeld van een bedrijfsdirectory is Active Directory. enterprise single sign-on (ESSO) Een mechanisme waarmee gebruikers zich kunnen aanmelden bij alle toepassingen die in gebruik zijn genomen in de onderneming door een gebruikers-ID en andere legitimatiegegevens in te voeren, bijvoorbeeld een wachtwoord. ESSO Zie enterprise single sign-on.
34
Zie Federal Information Processing Standard.
FQDN Zie Fully Qualified Domain Name. fully qualified domain name (FQDN) De naam van een hostsysteem in internetcommunicatie die alle subnamen van de domeinnaam omvat. bijvoorbeeld rchland.vnet.ibm.com. Zie ook hostnaam.
g GINA Zie graphical identification and authentication. GPO
Zie group policy object.
graphical identification and authentication (GINA) Een dynalink-bibliotheek die een gebruikersinterface verzorgt, die nauw is geïntegreerd is met verificatiefactoren en die
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
opties voor het opnieuw instellen van wachtwoorden en voor het overslaan van tweede factoren biedt. group policy object (GPO) Een verzameling van instellingen voor groepsbeleid. Objecten voor groepsbeleid bestaan uit de documenten die door de snap-in voor groepsbeleid zijn gemaakt. Objecten voor groepsbeleid worden opgeslagen op domeinniveau en ze zijn van invloed op gebruikers en computers die zich binnen locaties, domeinen en organisatie-eenheden bevinden.
C HA
Zie high availability.
high availability (HA) Het vermogen van IT-services om alle storingen te kunnen doorstaan en verwerkingscapaciteit te blijven leveren volgens een bepaald vooraf gedefinieerd serviceniveau. Het gaat bij deze storingen zowel om geplande events, zoals onderhoud en backups als om ongeplande events, zoals softwareproblemen, hardwareproblemen, stroomstoringen en rampen. Hostnaam De naam die in internetcommunicatie aan een computer wordt gegeven. De hostnaam kan een volledig gekwalificeerde domeinnaam zijn, zoals mijncomputer.stad.bedrijf.com, of een specifieke subnaam, zoals mijncomputer. Zie ook fully qualified domain name, IPadres. sneltoets Een toetsencombinatie die kan worden gebruikt om bewerkingen tussen verschillende toepassingen of tussen verschillende functies van een toepassing te verschuiven. hybride smartcard Een smartcard die compatibel is met ISO7816 en die een cryptografiechip met openbare sleutel en een RFID-chip bevat. De cryptographische chip is toegankelijk via een contactinterface. De RFID chip is toegankelijk via een contactloze (RF) interface.
V interactieve grafische werkstand Een serie schermen waarmee informatie wordt gevraagd voor het voltooien van de installatie. IP-adres Een uniek adres voor een apparaat of een logical unit op een netwerk als er gebruik wordt gemaakt van de Internet Protocolstandaard. Zie ook hostnaam.
J Java Management Extensions (JMX) Een middel voor het beheren van en via Java-technologie. JMX is een universele, open uitbreiding van de Java-programmeertaal voor beheer die kan worden geïmplementeerd over alle sectoren, overal waar beheerfuncties benodigd zijn. Java runtime environment (JRE) Een subset van en Java-ontwikkelaarskit die de belangrijkste uitvoerbare programma's en bestanden bevat die het standaard Java-platform vormen. De JRE bevat de JVM (Java Virtual Machine), kernklassen en ondersteunende bestanden. Java virtual machine (JVM) Een software-implementatie van een processor waarop gecompileerde Java-code (applets en toepassingen) wordt uitgevoerd. JMX
Zie Java Management Extensions.
JRE
Zie Java runtime environment.
JVM
Zie Java virtual machine.
K keystore In de beveiliging is dit een bestand of een cryptografische kaart voor hardware, waarin ID's en persoonlijke sleutels zijn opgeslagen om gegevens te verifiëren en te versleutelen. Bepaalde sleutelruimten bevatten tevens betrouwbare of openbare sleutels. Zie ook truststore.
Woordenlijst
35
G
n
LDAP Zie Lightweight Directory Access Protocol.
netwerkimplementatie De implementatie van een IMS Server in een WebSphere Application Server-cluster.
LDAP (Lightweight Directory Access Protocol) Een open protocol dat gebruik maakt van TCP/IP voor het verzorgen van toegang tot directory's die een X.500-model ondersteunen. LDAP kan worden gebruikt voor het opsporen van mensen, organisaties en andere resources in een internet- of intranetadresboek. lightweight-modus Een werkstand van AccessAgent op een server. Bij gebruik van de lightweight-modus wordt er minder geheugen gebruikt voor AccessAgent op een Terminal- of Citrix-server en wordt de duur van opstarten met enkelvoudige aanmelding verbeterd. gekoppelde kloon Een kopie van een virtuele machine die aanhoudend virtuele schijven deelt met de bovenliggende virtuele machine. belastingsverdeling Het bewaken van toepassingenservers en het beheren van de werkbelasting op servers. Als een bepaalde server zijn werkbelasting overschrijdt, worden opdrachten doorgestuurd naar een andere server die meer capaciteit beschikbaar heeft. gebruiker voor zoekopdrachten Een gebruiker die is geverifieerd in de bedrijfsdirectory en naar andere gebruikers zoekt. IBM Security Access Manager for Enterprise Single Sign-On gebruikt de gebruiker voor zoekopdrachten voor het ophalen van gebruikerskenmerken uit de Active Directory- of LDAPbedrijfsrepository.
M beheerd knooppunt Een knooppunt dat in een Deployment Manager is ondergebracht en een knooppuntagent bevat; het kan beheerde servers bevatten. Zie ook knooppunt. mobiele verificatie Een verificatiefactor waarmee mobiele gebruikers zich beveiligd kunnen aanmelden bij bedrijfsresources vanaf elke plek in het netwerk.
36
knooppunt Een logische groep met beheerde servers. Zie ook beheerd knooppunt. knooppuntagent Een beheeragent voor het beheren van alle toepassingenservers op een knooppunt en waarmee het knooppunt wordt vertegenwoordigd in de beheercel.
X one-time password (OTP) Een eenmalig wachtwoord dat is gegenereerd voor een verificatie-event, dat soms tussen client en server wordt uitgewisseld via een beveiligd kanaal. OTP
Zie one-time password.
OTP-token Een klein draagbaar hardwareapparaat dat door de eigenaar wordt meegenomen voor het verkrijgen van toegang tot digitale systemen en/of fysieke assets.
W gebruiksperiode van wachtwoorden Een beveiligingsfunctie waarmee de supergebruiker kan opgeven hoe vaak gebruikers hun wachtwoord moeten wijzigen. beleid voor complexiteit van wachtwoorden Een beleid dat de minimale en maximale lengte van het wachtwoord aangeeft, het minimumaantal numerieke en alfabetische tekens en of er hoofdletters en kleine letters gebruikt moeten worden. pincode In Cryptographic Support een uniek nummer dat door een organisatie aan een individu wordt toegewezen en gebruik wordt als identiteitsbewijs. PIN's worden gewoonlijk door financiële instellingen aan hun klanten toegewezen. PIN
Zie Personal Identification Number.
vastzetbare status Een status van een AccessProfile-widget
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
die met het hoofd-AccessProfile kan worden gecombineerd, om de functie van de AccessProfile-widget opnieuw te gebruiken. PKCS Zie Public Key Cryptography Standards. beleidssjabloon Een vooraf gedefinieerd beleidsformulier dat gebruikers helpt bij het definiëren van een beleid door het aangeven van de vaste en variabele beleidselementen. portal Een enkelvoudig, beveiligd toegangspunt voor uiteenlopende informatie, toepassingen en personen die kan worden aangepast en gepersonaliseerd. aanwezigheidsdetector Als dit apparaat op een computer is aangebracht, detecteert het de afwezigheid van een persoon. Door dit apparaat te gebruiken hoeft u de computer niet meer handmatig te vergrendelen als u even ergens naar toe gaat. primaire verificatiefactor Het wachtwoord voor IBM Security Access Manager for Enterprise Single SignOn of de legitimatiegegevens voor de directoryserver. persoonlijke sleutel In computerbeveiliging is dit het geheime deel van een cryptografisch sleutelpaar dat wordt gebruikt voor een openbaar sleutelalgoritme. De persoonlijke sleutel is alleen bekend voor de eigenaar ervan. Persoonlijke sleutels worden vak gebruikt voor het digitaal ondertekenen van gegevens en voor het decoderen van gegevens die zijn versleuteld met de bijbehorende openbare sleutel. provisioning Het verstrekken, implementeren en volgen van een service, component, toepassing of resource. Zie ook deprovision. provisioning-API Een interface voor het integreren van IBM Security Access Manager for Enterprise Single Sign-On met provisioning-systemen van gebruikers. provisioningbridge Een automatisch distributieproces voor legitimatiegegevens van IMS Server met
provisioning-systemen van derden die werken met API-bibliotheken met een SOAP-verbinding. provisioningsysteem Een systeem voor het beheer van levenscycli van gebruikers-ID van toepassingen in ondernemingen en voor het beheer van de legitimatiegegevens ervan. Public Key Cryptography Standards (PKCS) Een set standaardprotocollen voor beveiligde uitwisseling van informatie op het internet. Domino Certificate Authority- en Server Certificate Administration-toepassingen accepteren certificaten met een PKCS-indeling. gepubliceerde toepassing Een toepassing die is geïnstalleerd op een Citrix XenApp-server waartoe Citrix ICAclients toegang hebben. gepubliceerd bureaublad Een Citrix XenApp-functie waarbij gebruikers toegang op afstand hebben tot een volledig Windows-bureaublad vanaf elk apparaat, op elke locatie en op elk tijdstip.
E radio frequency identification (RFID) Een technologie voor automatische identificatie en gegevensvastlegging, voor het herkennen van unieke items en het verzenden van gegevens met behulp van radiogolven. Zie ook Actieve RFID (active radio frequency identification). RADIUS Zie remote authentication dial-in user service. willekeurig wachtwoord Een willekeurig gegenereerd wachtwoord voor het verhogen van de verificatiebeveiliging tussen clients en servers. RDP
Zie remote desktop protocol.
register Een repository met toegangs- en configuratiegegevens voor gebruikers, systemen en software.
Woordenlijst
37
register-hive In Windows-systemen de structuur van de gegevens die zijn opgeslagen in het register. remote authentication dial-in user service (RADIUS) Een systeem voor verificatie en accounts dat met toegangsservers werkt, om centraal beheer te verschaffen voor de toegang tot grote netwerken. remote desktop protocol (RDP) Een protocol voor het van op afstand afbeelden en werken met Windowsservertoepassingen via netwerkverbindingen. RDP ondersteunt verschillende netwerktopologieën en meerdere verbindingen. replicatie Het proces voor het onderhouden van een gedefinieerde set gegevens op meerdere locaties. Replicatie heeft betrekking op het kopiëren van aangegeven wijzigingen op een locatie (een bron) naar een andere (een doel) en het synchroniseren van de gegevens op beide locaties. intrekken Het verwijderen van bevoegdheid of machtiging voor een machtigings-ID. RFID
Zie radio frequency identification.
hoofd-CA Zie hoofdcertificaatgever. hoofdcertificaatgever (hoofd-CA) De certificaatgever die bovenaan de hiërarchie staat van de instanties aan de hand waarvan een certificaathouder kan worden geverifieerd.
Secure Sockets Layer (SSL) Een beveiligingsprotocol dat de privacy van communicatie garandeert. Dankzij SSL kunnen client/server-programma's communiceren op een manier die bedoeld is om afluisteren, knoeien en vervalsen van berichten te voorkomen. Secure Sockets Layer Virtual Private Network (SSL VPN) Een vorm van VPN die met een standaard webbrowser uitgevoerd kan worden. Security Token Service (STS) Een webservice voor het verzenden en uitwisselen van beveiligingstokens. trust service chain Een groep module-instances die zijn geconfigureerd voor gelijktijdig gebruik. Elke module-instance in de keten wordt op zijn beurt aangeroepen voor het uitvoeren van een specifieke functie die een onderdeel is van de algehele verwerking van een opdracht. serviceprovider-interface voor seriële ID's Een programma-interface die bedoeld is voor integratie van AccessAgent met apparaten van derden die werken met seriële ID's en die worden gebruikt voor verificatie met twee factoren. serienummer Een uniek nummer dat deel uitmaakt van IBM Security Access Manager for Enterprise Single Sign-On-sleutels, dat uniek is voor elke sleutel en niet kan worden gewijzigd.
bereik Een verwijzing naar de toepasbaarheid van een beleid - op systeem-, gebruikersof computerniveau.
serverlocator Een locator voor het groeperen van een set webtoepassingen die verificatie door dezelfde verificatieservice vereisen. In AccessStudio identificeren serverlocators de verificatieservice waaraan het scherm van een toepassing gekoppeld is.
geheime vraag Een vraag waarvan het antwoord alleen bekend is bij de gebruiker. Een geheime vraag wordt gebruikt als beveiligingsfunctie voor het controleren van de identiteit van een gebruiker.
service provider interface (SPI) Een interface waarmee leveranciers elk apparaat met een serienummer kunnen integreren bij IBM, zodat het apparaat als tweede factor kan worden gebruikt in AccessAgent.
beveiligde toegang op afstand De oplossing die zorgt voor enkelvoudige aanmelding via de webbrowser bij alle toepassingen van buiten de firewall.
handtekening In profielen zijn dit unieke identificatiegegevens voor een toepassing, venster of veld.
S
38
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
automatisering van aanmelding Een technologie die met gebruikersinterfaces voor toepassingen werkt voor het automatiseren van het aanmeldingsproces voor gebruikers. registreren Voor het aanvragen van een resource. onbewaakte modus Een methode voor het installeren of deinstalleren van een productcomponent van de opdrachtregel zonder GUI-weergave. Bij gebruik van de onbewaakte modus geeft u de voor het installeren of verwijderen vereiste informatie rechtstreeks op de opdrachtregel op, of via een bestand (een zogenoemd optiebestand of responsbestand). SMTP (Simple Mail Transfer Protocol) Een protocol voor internettoepassingen voor het overdragen van mail tussen gebruikers van internet. enkelvoudige aanmelding (SSO) Een verificatieproces waarmee een gebruiker door het eenmalig opgeven van een gebruikers-ID en wachtwoord toegang kan krijgen tot meer dan één systeem of toepassing. smartcard Een slim token dat met een IC-chip is aangebracht en dat geheugencapaciteit en rekenmogelijkheden biedt. smartcardmiddleware Software die als interface tussen smartcardtoepassingen en de hardware van de smartcard fungeert. In het algemeen bestaat de software uit bibliotheken die de PKCS#11- en CAPI-interfaces op de smartcards implementeren. SMTP Zie Simple Mail Transfer Protocol. snapshot Een vastgelegde status, gegevens en hardwareconfiguratie van een actieve virtuele machine. SOAP Een lightweight XML-protocol voor het uitwisselen van informatie in een gedecentraliseerde gedistribueerde omgeving. SOAP kan worden gebruikt voor het opvragen en terugzenden van gegevens en voor het oproepen van services op internet. Zie ook webservice. SPI
stand-alone implementatie Een implementatie waarbij de IMS Server geïmplementeerd is met een onafhankelijk profiel van WebSphere Application Server. stand-alone server Een volledig operationele server die onafhankelijk van alle andere servers wordt beheerd met een eigen beheerconsole. sterke verificatie Een oplossing die gebruik maakt van verificatie-apparatuur met meerdere factoren om ongeautoriseerde toegang te voorkomen tot vertrouwelijke bedrijfsinformatie en IT-netwerken, zowel binnen als buiten de bedrijfsgebouwen. sterke digitale identiteit Een online persoon die moeilijk te vervalsen is, mogelijk beveiligd door persoonlijke sleutels en een smartcard. STS
Zie Security Token Service.
modaal systeembericht Een dialoogvenster van het systeem dat meestal wordt gebruikt voor het afbeelden van belangrijke berichten. Als een modaal systeembericht wordt afgebeeld, kan er niets op het scherm worden geselecteerd totdat het bericht gesloten is.
D werkstationemulator Een programma waarmee een apparaat zoals een microcomputer of PC gegevens kan invoeren of ontvangen van een computersysteem, alsof het een bepaald type aangesloten werkstation is. terminal type (tty) Een generiek stuurprogramma voor een tekstbeeldscherm. Een tty voert in het algemeen invoer en uitvoer uit op basis van teken-na-teken. thin client Dit is een client waarop weinig of geen software is geïnstalleerd, maar wel met toegang tot de software op de netwerkservers waarop de client is aangeWoordenlijst
39
services zoals autorisatie, controle of delegatie. Een gebruikers-ID en wachtwoord zijn bijvoorbeeld legitimatiegegevens die de toegang tot het netwerk en de systeemresources autoriseren.
sloten. Een thin client is een alternatief voor een client met volledige functionaliteit zoals een werkstation. transparante schermvergrendeling Een functie waarmee gebruikers hun bureaubladschermen kunnen vergrendelen maar nog wel de inhoud van het bureaublad kunnen zien. trigger Voor profielen is dit een event die een overgang veroorzaakt tussen bepaalde statussen in een statusmechanisme, bijvoorbeeld het laden van een webpagina of het afbeelden van een venster op het bureaublad. trust service chain Een keten van modules die worden uitgevoerd in verschillende modussen, zoals het valideren, toewijzen en verzenden van een truststore. truststore In de beveiliging is dit een opslagobject, een bestand of een cryptografische kaart voor hardware, waarin openbare sleutels in de vorm van betrouwbare certificaten worden opgeslagen voor verificatiedoeleinden in webtransacties. In sommige toepassingen worden deze betrouwbare certificaten verplaatst naar de sleutelruimte van de toepassing waar ook de persoonlijke sleutels zijn opgeslagen. Zie ook sleutelruimte. tty
Zie terminal type.
verificatie met twee factoren Het gebruik van twee factoren voor het verifiëren van een gebruiker. Bijvoorbeeld het gebruik van een wachtwoord en een RFID-kaart voor de aanmelding bij AccessAgent.
V uniform resource identifier Een compacte tekenreeks ter identificatie van een abstracte of fysieke bron. legitimatiegegeven voor gebruiker Informatie die wordt verkregen tijdens de verificatiefase, die een gebruiker, groepsassociaties, of andere beveiligingsgerelateerde identiteitskenmerken beschrijft en die wordt gebruikt voor het uitvoeren van
40
deprovisioning van gebruiker Het proces van het verwijderen van een gebruikersaccount uit IBM Security Access Manager for Enterprise Single Sign-On. provisioning van gebruiker Het proces van het registreren van een gebruiker voor gebruik van IBM Security Access Manager for Enterprise Single Sign-On.
H VB
Zie Visual Basic.
virtuele appliance Een image van een virtuele machine met een specifiek toepassingsdoel dat wordt geïmplementeerd op virtualisatieplatforms. connector voor virtueel kanaal Een connector die wordt gebruikt in een omgeving voor terminalservices. De connector voor virtuele kanalen brengt een virtueel communicatiekanaal tot stand voor het beheer van sessies op afstand tussen de AccessAgent-component van de client en die van de server. virtueel bureaublad Een gebruikersinterface in een virtuele omgeving, zoals opgeslagen op een server op afstand. virtuele bureaubladinfrastructuur Een infrastructuur die bestaat uit bureaublad-besturingssystemen die worden gehost binnen virtuele machines op een centrale server. Virtual Member Manager (VMM) Een component van WebSphere Application Server die zorgt voor een veilige manier om basale organisatiegegevens over entiteiten, zoals personen, aanmeldingsaccounts, en beveiligingsrollen te openen. Virtual Private Network (VPN) Uitbreiding van het intranet van een bedrijf via het bestaande framework van een openbaar of besloten netwerk. Een VPN zorgt voor de beveiliging van gegevens
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
die worden verzonden tussen de twee eindpunten van de verbinding. Visual Basic (VB) Een eventgestuurde programmeertaal en geïntegreerde ontwikkelomgeving (IDE) van Microsoft.
WS-Trust Een specificatie voor beveiliging van webservices dat een framework voor betrouwbaarheidsmodellen definieert voor het tot stand brengen van vertrouwen tussen webservices.
VMM Zie Virtual Member Manager. VPN
Zie Virtual Private Network.
W wallet Een beveiligd gegevensarchief met toegangslegitimatiegegevens van een gebruiker en daarmee samenhangende gegevens, waaronder gebruikers-ID's, wachtwoorden, certificaten en codeersleutels. walletcaching Het proces tijdens enkelvoudige aanmelding voor een toepassing waarbij AccessAgent de legitimatiegegevens voor aanmelding ophaalt uit de wallet met legitimatiegegevens van de gebruiker. De wallet met legitimatiegegevens van de gebruiker wordt gedownload naar de computer van de gebruiker in cache en daarnaast beveiligd opgeslagen op de IMS Server. wallet manager De GUI-component van IBM Security Access Manager for Enterprise Single SignOn waarmee de gebruiker legitimatiegegevens voor toepassingen kan beheren in de wallet voor het persoonlijke ID. webserver Een softwareprogramma dat in staat is HTTP-opdrachten af te handelen. webservice Een op zichzelf staande, zichzelf beschrijvende modulaire toepassing die via het netwerk, met behulp van standaardnetwerkprotocollen, kan worden gepubliceerd, opgespoord en aangeroepen. Gewoonlijk wordt XML gebruikt om de gegevens te voorzien van tags, word SOAP gebruikt om de gegevens over te brengen, wordt WSDL gebruikt om de beschikbare services te beschrijven en word UDDI gebruikt om op te sommen welke services er beschikbaar zijn. Zie ook SOAP.
Woordenlijst
41
42
IBM® Security Access Manager for Enterprise Single Sign-On: Handleiding
Trefwoordenregister A AccessAgent aanmelden 6 geheimen opnieuw instellen 17 registreren 5, 6 AccessAssistant aanmelden 20 geheimen opnieuw instellen 23 ophalen van wachtwoorden 22 opnieuw instellen van wachtwoorden 21 registreren 20 resetten van op OATH gebaseerde OTP-tokens 24 verificatie met twee factoren 21
B biometrisch 7 Zie vingerafdruk
P passief RFID ontgrendelen van de computer 8 registreren 7 pictogrammen 2 pictogrammen van IBM Security Access Manager for Enterprise Single SignOn 2 probleembepaling viii publicaties lijst van voor dit product v online toegang v verklaring van goede beveiligingsstrategieën ix
wachtwoord verificatieservice 15 Wachtwoord voor IBM Security Access Manager for Enterprise Single Sign-On ontgrendelen van de computer 7 overzicht 2 vergrendelen van de computer 7 wachtwoord wijzigen 16 Wallet toepassingsinstellingen 16 verificatieservice 16 Wallet Manager 13 legitimatiegegevens opzoeken 15 weergaveopties 13 Web Workplace Active Directory-account ontgrendelen 22 instellen standaardaccount 26 resetten van op OATH gebaseerde OTP-tokens 24 vastleggen van legitimatiegegevens 26 voorkeuren instellen 26
